短信验证码被刷常见防范策略

2021-06-17 10:22:48 admin

1、网站或者APP注册页面添加个隐藏的[input],value为随机验证码(保存在session),短信发送前验证一下,保证在当前页面点击。

2、加检测逻辑,屏蔽非手机号的乱码等无效数字。

3、前端加好校验码(图形验证或二次确认)防机器人批量刷,下图是几种常见的图文验证码,可以结合自身平台特点进行选择。

图片关键词

4、设置验证码时效性-数据库保存生成的验证码时间,表单提交时,判断该验证码是否正确(是否在表中存在同时验证码是否失效,一般是五分钟内失效)。

5、同号码请求次数限制,根据业务的需要,设置每个手机号码每天的最大发送量。

6、频率限制-同一号码重复发送的时间间隔,建议设置为60-120秒。

7、场景流程限定——将手机短信验证和用户名密码设置分成两个步骤,用户在设置成功用户名密码后,下一步才进行手机短信验证,并且需要在获取第一步成功的回执之后才可进行校验。

8、IP限定——根据自己的业务特点,设置每个IP每天的最大发送量。

9、传输https加密。

微信

公众号

服务热线
在线咨询