现在很多APP或网站在注册会员、找回密码等场景中使用短信验证码功能,如何避免短信验证码被刷,
深圳短信群发小锐根据一些专业人士的建议,下面跟大家分享,希望对广大开发者有帮助。
(1)加上检测逻辑,屏蔽非手机号的乱码等无效数字;
(2)在注册页添加个隐藏的"input",value为随机验证码(保存在session),发短信前验证一下,保证是在当前页面点击;
(3)前端加好效验码(图形验证或二次确认)防机器人批量刷;
(4)频率限制-同一号码重复发送的时间间隔,建议设置为60-120秒;
(5)同号码请求数量限制,根据业务特点,设置每个手机号码每天的最大发送量;
(6)场景流程限定——将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验;
(7)传输https加密;
(8)IP限定——根据自己的业务特点,设置每个IP每天的最大发送量;
(9)设置验证码时效性-数据库保存生成的验证码时间,表单提交时,判断该验证码是否正确(是否在表中存在同时验证码是否失效,一般是五分钟内失效)。
发布日期:2019.11.02
