现在大部分产品都涉及到短信验证码的接口,尤其是手机产品。短信验证码几乎成为了所有手机产品的标配。因此,防止短信被刷,成为每个产品经理和开发者关心的问题。
没有遇到过短信被刷的问题的产品经理,可能不会太在意这个问题。这里先简单介绍一下刷短信的黑工具——短信轰炸机。SMS Bomber是一款使用编写程序批量刷短信的软件。可以自动批量提交手机号、模拟IP等方式刷短信。
所以我们在设计需要短信验证码的产品时,一定要制定限制规则,防止短信被刷屏。
防刷卡的常见做法,估计大家都不陌生了。在PC时代代刷网轰炸机,大部分平台都采用图形验证码的形式,以降低平台被机器刷卡的风险。最典型的例子就是12306这个“奇怪的验证码”。但是,在移动互联网时代,用户体验非常重要,有时使用图形验证码会对用户体验产生一定的影响。那么,除了图形验证码,还有哪些方法可以解决短信被刷的问题呢?这里有几个方法供大家参考:
1、时间限制:60秒后再发送
从发送验证码开始,前端(客户端)会进行 60 秒的倒计时。在这一分钟内,用户不能多次提交发送信息的请求。这种方法虽然很常用,但用处不大。技术稍好的人可以绕过这个限制,直接发送短信验证码。
2、手机号码限制:24小时内同一个手机号码不能超过5个
使用同一个手机号进行注册或其他发送短信验证码的操作时,系统可以限制手机号。例如24小时内只能发送5个短信验证码,超过限制会报错(例如:系统忙,请稍后再试)。不过代刷网轰炸机,这只能避免人工刷短信。对于使用不同手机号批量刷短信的机器,这种方法也是无奈之举。
3、短信验证码限制:30分钟内发送相同的验证码
网上还有一种方法说:30分钟内,所有发送的请求和短信验证码都是同一个验证码。首次请求短信API,然后缓存短信验证码结果。如果您在 30 分钟内再次请求,将直接返回缓存的内容。对于这种方式,短信接口提供商是否会收取发送缓存信息的费用,目前还不是很清楚。如果您有兴趣,可以了解更多。
4、前后端验证:提交Token参数验证
这种方法很少被提及,个人认为这种方法值得一试。前端(客户端)请求发送短消息时,同时向服务器提交一个Token参数,服务器对Token参数进行校验。
5、唯一限制:微信产品,限制同一微信ID用户的请求次数
如果是微信产品,可以通过微信ID进行识别,然后相同微信ID的用户在24小时内只能发送一定数量的短信。
6、产品流程限制:逐步
例如,在注册短信验证码的使用场景中,我们将注册步骤分为两步。用户输入手机号并设置密码后,下一步就是进入验证码的验证步骤。
7、图形验证码限制:图形验证通过后请求接口
用户输入图形验证码并通过后,用户请求短信接口获取验证码。为了有更好的用户体验,也可以设计成一开始不需要输入图形验证码,操作达到一定数量后才需要输入图形验证码。请根据具体情况设计。
8、IP和Cookie限制:限制相同IP/Cookie信息的最大数量
使用cookies或IP,可以简单地识别同一用户,然后限制同一用户(例如24小时内最多只能发送20条短信)。但是可以清除cookies,可以模拟IP,IP在局域网中也会有相同的IP。因此,在使用这种方法时,应该根据具体情况来思考。
9、短信预警机制,防范问题
以上方法可能无法完全防止短信被刷。因此,我们还应该做好短信的预警机制,即当短信使用量达到一定量时,向管理员发送预警信息,管理员可以第一时间回复短信。接口状况受到监控和保护。
上面提到的方法可能并不完美,但可以多种方式组合使用,以降低短信被多条规则刷卡的风险。
如果您有更好的方法,请与我们分享
举两个例子,如何写出好的代码
最经典的算法,献给面试路上的你
如果您现在正在面试 PHP,请查看基本面试问题
