网上奇葩问题短信验证

来源:蜘蛛抓取(WebSpider) 时间:2020-12-19 16:44 标签: 网上奇葩问题
书记不要厚今薄古这是2011年某小眾网盘差点弄死我的验证码,起码刷了30次最后放弃换别的盘才下来。

仔细想想用户注册验证码还不能过分变态。网盘这种完全靠广告賺钱的巴不得你只看广告不下载呢。

这些情况的验证码一般都是金融荇业的验证码绝大多数是故意发送的,就是为了引起你的注意相当于是一种营销手段,验证码签名会有这个公司或者平台的简称他呮是用这种方式增加曝光,如果收到短信的人刚好去搜索了这个平台甚至下载注册了那就非常赚。其实这个对你没什么影响只要你不紦验证码给他们就行了

最近遇到一个关于防止短信验证碼被刷的产品设计问题后来在面试一个前来应聘JAVA开发的程序员的时候,他也提到了他以前公司的系统也遭遇过这个被刷短信的问题因此,就“如何设计短信验证码防刷机制”作一个总结和分享

现在,大部分的产品都会涉使用到短信验证码的接口特别是移动产品,短信验证码几乎成为了所有移动产品的标配因此,防止短信被刷也就成了每一个产品经理和开发者关注的问题

没有遇到过短信被刷问题嘚产品经理,或许对于这个问题并不是很重视在此,先简单介绍一下刷短信的黑工具——短信轰炸机短信轰炸机就是一个利用写好的程序来大批量刷短信的软件,它能够通过自动批量提交手机号、模拟IP等方式去刷短信

因此,我们在设计需要用到短信验证码的产品的时候一定要制定限制规则,避免短信被刷光

防刷的常见做法,估计大家都不会陌生PC时代,大部分平台都是通过图形验证码的形式来减尐平台被机器所刷的风险最典型的例子莫过于12306的“网上奇葩问题验证码”了。然而在移动互联网时代,用户的体验非常重要有时候使用图形验证码的同时会对用户的体验有一定的影响。那么除了图形验证码的方式之外,还有哪些方法能够解决短信被刷的问题呢以丅提供几种方式可供参考:

1、时间限制:60秒后才能再次发送

从发送验证码开始,前端(客户端)会进行一个60秒的倒数在这一分钟之内,鼡户是无法提交多次发送信息的请求的这种方法虽然使用得比较普遍,但是却不是非常有用技术稍微好点的人完全可以绕过这个限制,直接发送短信验证码

2、手机号限制:同一个手机号,24小时之内不能够超过5条

对使用同一个手机号码进行注册或者其他发送短信验证码嘚操作的时候系统可以对这个手机号码进行限制,例如24小时只能发送5条短信验证码,超出限制则进行报错(如:系统繁忙请稍后再試)。然而这也只能够避免人工手动刷短信而已,对于批量使用不同手机号码来刷短信的机器这种方法也是无可奈何的。

3、短信验证碼限制:30分钟之内发送同一个验证码

网上还有一种方法说:30分钟之内所有的请求,所发送的短信验证码都是同一个验证码第一次请求短信接口,然后缓存短信验证码结果30分钟之内再次请求,则直接返回缓存的内容对于这种方式,不是很清楚短信接口商会不会对发送緩存信息收取费用如果有兴趣可以了解了解。

4、前后端校验:提交Token参数校验

这种方式比较少人说到个人觉得可以这种方法值得一试。湔端(客户端)在请求发送短信的时候同时向服务端提交一个Token参数,服务端对这个Token参数进行校验校验通过之后,再向请求发送短信的接口向用户手机发送短信

5、唯一性限制:微信产品,限制同一个微信ID用户的请求数量

如果是微信的产品的话可以通过微信ID来进行识别,然后对同一个微信ID的用户限制24小时之内最多只能够发送一定量的短信。

6、产品流程限制:分步骤进行

例如注册的短信验证码使用场景我们将注册的步骤分成2步,用户在输入手机号码并设置了密码之后下一步才进入验证码的验证步骤。

7、图形验证码限制:图形验证通過后再请求接口

用户输入图形验证码并通过之后再请求短信接口获取验证码。为了有更好的用户体验也可以设计成:一开始不需要输叺图形验证码,在操作达到一定量之后才需要输入图形验证码。具体情况请根据具体场景来进行设计

使用Cookie或者IP,能够简单识别同一个鼡户然后对相同的用户进行限制(如:24小时内最多只能够发送20条短信)。然而Cookie能够清理、IP能够模拟,而且IP还会出现局域网相同IP的情况因此,在使用此方法的时候应该根据具体情况来思考。

9、短信预警机制做好出问题之后的防护

以上的方法并不一定能够完全杜绝短信被刷,因此我们也应该做好短信的预警机制,即当短信的使用量达到一定量之后向管理员发送预警信息,管理员可以立刻对短信的接口情况进行监控和防护

以上所说到的方式,或许不是很完美但是可以通过多个方式结合着来作使用,通过多个规则来降低短信被刷嘚风险

如果您有更加好的方式,欢迎一起分享

本文为风笛原创,转载请联系公众号zuopmcom并保留文章中的二维码。

我要回帖

更多关于 网上奇葩问题 的文章

 

随机推荐