婷婷色中文网,国产欧美又粗又长又爽,亚洲精品国偷自产在线91正片,日韩精品1区2区

網(wǎng)站如何設(shè)置短信驗(yàn)證碼防刷機(jī)制，才能避免被刷

1、時(shí)間限制：60秒后才能再次發(fā)送

從發(fā)送驗(yàn)證碼開始，前端（客戶端）會(huì)進(jìn)行一個(gè)60秒的倒數(shù)，在這一分鐘之內(nèi)，用戶是無法提交多次發(fā)送信息的請(qǐng)求的。這種方法雖然使用得比較普遍，但是卻不是非常有用，技術(shù)稍微好點(diǎn)的人完全可以繞過這個(gè)限制，直接發(fā)送短信驗(yàn)證碼。

2、手機(jī)號(hào)限制：同一個(gè)手機(jī)號(hào)，24小時(shí)之內(nèi)不能夠超過5條

對(duì)使用同一個(gè)手機(jī)號(hào)碼進(jìn)行注冊(cè)或者其他發(fā)送短信驗(yàn)證碼的操作的時(shí)候，系統(tǒng)可以對(duì)這個(gè)手機(jī)號(hào)碼進(jìn)行限制，例如，24小時(shí)只能發(fā)送5條短信驗(yàn)證碼，超出限制則進(jìn)行報(bào)錯(cuò)（如：系統(tǒng)繁忙，請(qǐng)稍后再試）。然而，這也只能夠避免人工手動(dòng)刷短信而已，對(duì)于批量使用不同手機(jī)號(hào)碼來刷短信的機(jī)器，這種方法也是無可奈何的。

3、短信驗(yàn)證碼限制：30分鐘之內(nèi)發(fā)送同一個(gè)驗(yàn)證碼

網(wǎng)上還有一種方法說：30分鐘之內(nèi)，所有的請(qǐng)求，所發(fā)送的短信驗(yàn)證碼都是同一個(gè)驗(yàn)證碼。第一次請(qǐng)求短信接口，然后緩存短信驗(yàn)證碼結(jié)果，30分鐘之內(nèi)再次請(qǐng)求，則直接返回緩存的內(nèi)容。對(duì)于這種方式，不是很清楚短信接口商會(huì)不會(huì)對(duì)發(fā)送緩存信息收取費(fèi)用，如果有興趣可以了解了解。

4、前后端校驗(yàn)：提交Token參數(shù)校驗(yàn)

這種方式比較少人說到，個(gè)人覺得可以這種方法值得一試。前端（客戶端）在請(qǐng)求發(fā)送短信的時(shí)候，同時(shí)向服務(wù)端提交一個(gè)Token參數(shù)，服務(wù)端對(duì)這個(gè)Token參數(shù)進(jìn)行校驗(yàn)，校驗(yàn)通過之后，再向請(qǐng)求發(fā)送短信的接口向用戶手機(jī)發(fā)送短信。

注冊(cè)短信驗(yàn)證碼，怎么防止別人惡意刷接口

普通自開發(fā)

發(fā)送時(shí)間間隔

設(shè)置同一個(gè)號(hào)碼重復(fù)發(fā)送的時(shí)間間隔，一般設(shè)置為60-120秒。該手段可以在一定程度上防止短信接口被惡意攻擊，且對(duì)用戶體驗(yàn)沒有什么傷害。但是不能防止黑客更換手機(jī)號(hào)進(jìn)行攻擊，防護(hù)等級(jí)較低。

獲取次數(shù)限制

限制某個(gè)手機(jī)號(hào)在某個(gè)時(shí)間段內(nèi)獲取短信驗(yàn)證碼次數(shù)的上限。采用這種策略時(shí)在產(chǎn)品設(shè)計(jì)過程中，有幾點(diǎn)需要注意。

定義上限值。根據(jù)業(yè)務(wù)真實(shí)的情況，甚至需要考慮到將來業(yè)務(wù)的發(fā)展定一個(gè)合適的上限值，避免因用戶無法收到短信驗(yàn)證碼而帶來的投訴。

定義鎖定時(shí)間段?？梢允?4小時(shí)，可以是12小時(shí)、6小時(shí)。需要根據(jù)業(yè)務(wù)情況進(jìn)行定義。

IP限制

設(shè)置單個(gè)IP地址某個(gè)時(shí)間段內(nèi)最大的發(fā)送量。該手段可很好的預(yù)防單一IP地址的攻擊，但是也有兩個(gè)很明顯的缺點(diǎn)：

對(duì)于經(jīng)常變更IP地址進(jìn)行攻擊的黑客，該手段沒有很好的效果。

IP的限制經(jīng)常會(huì)造成誤傷。如在一些使用統(tǒng)一無線網(wǎng)的場(chǎng)所，很多用戶連接著同一個(gè)無線網(wǎng)，這個(gè)IP地址就容易很快達(dá)到上限，從而造成連接該無線網(wǎng)的用戶都無法正常的收到驗(yàn)證碼。

圖形驗(yàn)證碼    

在發(fā)送短信驗(yàn)證碼之前，必須通過通過圖形驗(yàn)證碼的校驗(yàn)。這種手段相對(duì)來說可以防止某些攻擊，因此也是目前非常普遍的短信防攻擊機(jī)制。但是在使用過程中涉及到用戶體驗(yàn)問題，不能簡(jiǎn)單粗暴地套用這一策略。以下幾個(gè)點(diǎn)值得仔細(xì)考慮：

是不是每次獲取短信驗(yàn)證碼之前都需要用戶輸入圖形驗(yàn)證碼，一般來說這樣做會(huì)極大地影響用戶體驗(yàn)，雖然是相對(duì)安全，但是用戶用著不爽了。

可以給一個(gè)安全范圍。結(jié)合手機(jī)號(hào)限制、IP限制來考慮，比如同一個(gè)手機(jī)號(hào)當(dāng)天第3次獲取短信驗(yàn)證碼的時(shí)候，出現(xiàn)圖形驗(yàn)證碼；比如同一個(gè)IP地址當(dāng)天獲取驗(yàn)證碼次數(shù)超過100次后，出現(xiàn)圖形驗(yàn)證碼。

加密限制

通過對(duì)傳向服務(wù)器各項(xiàng)參數(shù)進(jìn)行加密，到了服務(wù)器再進(jìn)行解密，同時(shí)用token作為唯一性識(shí)別驗(yàn)證，在后端對(duì)token進(jìn)行驗(yàn)證，驗(yàn)證通過才能正常將短信發(fā)送。該手段可以在保證用戶體驗(yàn)的情況下，可以有效防止某些攻擊，因此也是目前比較常見的短信防攻擊機(jī)制。同時(shí)也有很明顯的缺點(diǎn)：

使用的加解密算法可能會(huì)被破解，需要考慮使用破解難度較大的加解密算法。

在算法不被破解的情況下可以有效防止報(bào)文攻擊，但是無法防止瀏覽器模擬機(jī)式攻擊。

以上是幾種常見的短信風(fēng)控策略，在具體的產(chǎn)品設(shè)計(jì)過程中，可以綜合使用。

使用第三方防御

短信防火墻

為了在產(chǎn)品安全和優(yōu)秀的用戶體驗(yàn)之間尋找一個(gè)極佳的平衡。新昕科技的產(chǎn)品研發(fā)團(tuán)隊(duì)結(jié)合各種風(fēng)控策略的優(yōu)點(diǎn)研發(fā)出了一款短信防火墻。 從以下幾個(gè)方面概括一下：

為保障優(yōu)秀的用戶體驗(yàn)，擯棄了目前影響用戶體驗(yàn)最為嚴(yán)重的圖形驗(yàn)證碼等人機(jī)校驗(yàn)程序，做到無感驗(yàn)證。從而達(dá)到完美的用戶體驗(yàn)。

結(jié)合用戶的手機(jī)號(hào)碼 、IP地址 、設(shè)備指紋三個(gè)唯一身份標(biāo)識(shí)設(shè)置不同維度的風(fēng)控策略。將各個(gè)維度之間相互配合，達(dá)到一個(gè)最為合理的風(fēng)控限制指標(biāo)。

根據(jù)業(yè)務(wù)情況自動(dòng)伸縮風(fēng)控限制，在檢測(cè)處受攻擊時(shí)自動(dòng)加大風(fēng)控限制力度，在正常是再歸回到正常風(fēng)控標(biāo)準(zhǔn)。

考慮到存在新老客戶的區(qū)別，特意增加老客戶VIP通道，在受到攻擊時(shí)，風(fēng)控指標(biāo)緊縮的情況下，保證老客戶通道暢通無阻，從而降低誤傷率。

通過以上策略可以有防止黑客通過隨意切換手機(jī)號(hào)及IP地址的方式可以刷取短信。同時(shí)加入模擬器檢測(cè)，以及參數(shù)加密等風(fēng)控策略，有效防止黑客攻擊。

可通過風(fēng)控防火墻控制臺(tái)，實(shí)時(shí)觀測(cè)風(fēng)控結(jié)果，在受到攻擊時(shí)達(dá)到第一時(shí)間預(yù)警的效果。