如何保证短信验证码接口的安全?
短信验证码算是短信细分行业里的小众行业,因为价格便宜却能针对性的起到大力宣传作用,自然短信这个行业的竞争也愈演愈烈,各个短信运营商都绞尽脑汁在确保网站短信验证码接口相关措施的严密,如何防范短信验证码接口被盗用的问题呢?大家可以从以下五点来进行考虑:
1、绑定服务器IP:供应商的短信验证码接口只能识别客户的绑定服务器IP,否则将会报错【短信供应商一般都会让你提供发送短信的服务器IP,用来绑定短信接口,非绑定的服务器IP将无法发送短信】;
2、开启反投诉策略:短信验证码接口容易受到轰炸,供应商应将同个手机号码在24小时内接收同一根通道短信条数最大值设置为10【这个也是短信供应商那边默认设置的】;
3、防盗用策略:为了防止客户账号被盗,供应商可以限制短信验证码接口任何时间段的任意条数上限。类似于刚刚上线的App客户,短信日发送上限可以设置成10000条【这个也是短信供应商那边默认设置的】;
4、绑定图型校验码:将图形校验码和手机验证码进行绑定,这样能比较有效的防止软件恶意注册,例如,先输入图形验证码,成功之后,自动显示短信验证码按钮,在真正调用短信接口之前,判断之前是否有图形验证码验证流程,且是否成功,没有的话则视为恶意调用,禁用短信接口【这个主要是平台开发者来控制了,可以称之为二次验证】。
5、操作流程限定:将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验,此为登陆成功之后的手机号绑定【平台开发者控制】。
随着App项目的推广,网站或手机短信验证码接口广泛应用在用户验证各方面,大大降低了非法注册,烂注册的数据的出现,所以其安全防范机制尤为重要。
参照:https://www.douban.com/note/583807182/?type=rec