短信防刷办法

最新推荐文章于 2024-05-29 00:11:48 发布
最新推荐文章于 2024-05-29 00:11:48 发布
阅读量2.4k 收藏
点赞数
分类专栏: PHP 文章标签: 短信 验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Merciwen/article/details/73825217
版权

短信接口在业务中是必然会有的,那么怎么保证接口被刷呢?
我简单总结一下我的想法

  1. 首先可以考虑在页面上加上 验证码。可以减少人为的刷票
  2. 大量的被刷还应该是直接对接口的调用,这里面应该怎样防止被刷呢
  3. 可以考虑业务端 和 借口段 对应 token 识别表单令牌是否合法,但是这个令牌必须要一直变。不变的话就没有意义了。(时间,其他的变化的参数都可以成为token的元素)
  4. 还可以考虑对IP的限制。每个IP不可以调用太多的接口
  5. 每个手机号每天的调用次数也要限制
  6. 这些都有可能被攻克,做好预警监控机制。一段时间短信变化明显,或者超过预期的数量,要及时查看系统是否正常运行,
/**
     * 手机登录验证码
     * @author marain
     * @time  2017-06-27
     * 
     */
    public function get_code(){
        $phone  =   $_REQUEST['tel'];
        $token_key =   $_REQUEST['token_key'];
        $key='marain';
        $now=date('Y-m-d');
        $signkey=md5($key.$now.$phone.'marain'); //根据手机号和时间产生 token

        if ($token_key !== $signkey){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4001:令牌错误';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        if ($phone==''){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4002:电话不能为空';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        if (!preg_match("/^1[34578]\d{9}$/", $phone)){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4003:电话格式不正确';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        $ip=get_client_ip();
        $where_ip['create_ip']=$ip;//ip控制

        $sms_data = M('App_sms')->where($where_ip)->select();
        $today_date = date('Y-m-d');
        $total_onoip_count=0;
        foreach ($sms_data as $k1=>$v1){
            if(substr($v1['create_time'],0,10) == $today_date){
                $total_onoip_count++;
            }
        }
        if (count($sms_data) > 500){
           //ip 大于500报警
        }
        if ($total_onoip_count> 100){
            //单日ip 大于100报警
        }

        $where_who['tel_number']=$phone;
        $sms_data = M('App_sms')->where($where_who)->order("id desc")->select();

        //这个手机号没有注册
        if(empty($sms_data)){
            $code = $this->_create_code();
            $this->send_sms($phone, $code, $ip);
            $result = array();
            $result['code']    =200;
            $result['msg']    ='获取成功';
            $result['info']     = $code;
            echo json_encode($result);
            exit();
        }

        $total_send_count = 0;
        foreach($sms_data as $key1=>$row1){
            if(empty($key1)){
                $last_send_time = $row1['create_time'];
            }
            if(substr($row1['create_time'],0,10) == $today_date){
                $total_send_count++;
                $code = $row1['code'];
            }
        }
        if(empty($code)) $code = $this->_create_code();

        if((strtotime($last_send_time) + 60) > time()){
            $result['code']    =400;
            $result['msg']    ='4004:获取失败,请不要频繁获取';
            $result['info']     = '';
        }else{
            if($total_send_count < 30){
                $this->send_sms($phone, $code, $ip);
                $result['code']     =200;
                $result['msg']      ='获取成功';
                $result['info']     = $code;
            }else{
                $result['code']    =400;
                $result['msg']    ='4005:获取失败,每人每天只能获取三十次验证码';
                $result['info']     = '';
            }
        }
        echo json_encode($result);
        exit();
    }

    /**
     * 产生验证码
     */
    public function _create_code($length=4,$type="number"){
        $array = array(
            'number' => '0123456789',
            'string' => 'ABCDEFGHIJKLMNOPQRSTUVWXYZ',
            'mixed' => '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ',
        );
        $string = $array[$type];
        $count = strlen($string)-1;
        $rand = '';
        for ($i = 0; $i < $length; $i++) {
            $rand .= $string[mt_rand(0, $count)];
        }
        return $rand;
    }
private function send_sms($mobile, $code, $ip){
        if(empty($mobile) || empty($code) || empty($ip)) return false;
        $content = '您的注册验证码是'.$code;
          $url='发送短信接口'
        //$send_result = file_get_contents($url);
        $data = array();
        $data['tel_number'] = $mobile;
        $data['content'] = $content;
        $data['code'] = $code;
        $data['create_time'] = date('Y-m-d H:i:s');
        $data['create_ip'] = get_client_ip();
        $data['send_result'] = $send_result;
        $insertid = M('App_sms')->add($data);
        if($insertid) return true;
        return false;
    }
凌晨独舞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C#进行短信验证码发送
DarkAfraid的博客
12-12 490
C#进行短信验证码发送 这里是使用容联云进行短信验证码发送(主要就是调用一个api接口) 现需要去官网注册一个账号 https://www.yuntongxun.com/ 他可以让你提供了几个电话号码用于测试使用 然后按照上面文档所说调用api,注意传的数据 public static string SendMessage(string tel) { ...
商家平台短信盗刷解决方案
m0_61627247的博客
02-23 297
很多商家平台都有对接短信功能来验证用户的真实性,这个本来是一个很正常的业务需要,但是却被一些有心人用程序进行频繁请求发送,造成短信被恶意发送,那么短信盗刷就是非常必要的一件事,商家平台在上线前都需要确认,今天我们来发一下短信盗刷解决方案。 方案一:获取手机验证码的功能放在外面: 1、系统要检测箭头项目全部填写完全后才能进入获取验证码流程; 2、设置同一ip同一天请求次数不要超过5次; 3、设置相同号码获取手机验证码的时间间隔超过60秒; 4、设置相同手机号码一天内只能提交2次; 5、做图形验
如何防止短信验证码
ldm54466183的博客
02-19 3185
使用redis与前端相结合,实现验证码防刷
防刷发送短信验证码接口的五种简单好用方法绝对够用
最新发布
itScholar001的博客
05-29 1981
1.前端调用发送短信接口前,通过密钥(1234abcd)与加密算法,将miyao1234+(16位英文字母与数字字符串) 例如miyao1234wgly1noKSXg47Mn6 进行加密。5.如果解密后包含约定字符串miyao1234,则通过校验,此时注意⚠️,需要将此校验码存入redis,下次如果有相同校验码 则提示重复。前端增加图形验证码,点击发送按钮后增加60s倒计时,60s后才可以再次点击。3.后端接收到后对校验码进行解密,如果解密失败,提示失败。2.前端调用发送短信接口时,将校验码传递给后端。
短信接口防盗刷解决方案
Java知识图谱的博客
04-12 3599
一、序言 在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点: 流量在用户认证之前 流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流 手机号未知 手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信盗刷。 本文将重点聚焦接口的防盗刷实践。 二、盗刷流量 在解决防盗刷之前先认识盗刷流量的特点和防盗刷的目标。 (一)防盗刷的目标 1、减
接口如何防止被刷,教你有效的8种方法
m0_66326520的博客
02-23 2017
现在越来越多的应用程序和服务都提供了API接口,使得开发人员可以方便地与这些应用程序和服务进行交互。但是,由于API接口是公开的,因此很容易被黑客利用,对系统造成损害。为了确保API接口的安全性,我们需要采取一些措施,例如使用签名机制和限流机制来增强接口的安全性。在本文中,我们将介绍如何使用PHP实现这些措施,并防止API接口被恶意刷。
IOS开发中如何设计短信验证码防刷机制
08-28
在iOS应用开发中,设计短信验证码防刷机制是保障用户安全和系统稳定的重要环节。以下是一些常见的策略和实现方法: 1. **时间限制**:设置60秒后才能再次发送验证码,通常在用户点击发送验证码后启动倒计时。但这并...
java短信策略,防止短信盗刷,阿里云短信通道,短信通道安全策略,防短信轰炸
01-15
短信策略防盗刷,防短信轰炸。 短信通道防盗刷方案: 1.使用安全图形验证码,增加识别难度,防止通过自动化工具进行攻击请求; 2.每日限制每个手机号的发送次数; 3.单Ip的请求次数限制,防止攻击者对服务器进行大量...
家庭防盗短信报警系统
08-19
1. 支持无线遥控、电话振铃和短信遥控进行设防与解防操作。 2. 可切换静音和高响度报警模式,增加隐蔽性。 3. 报警短信内容和发送号码可远程通过电脑软件或手机短信修改。 4. 报警后能监听环境声音,但仅限于较大...
防盗报警系统短信报警系统word文档
06-15
- 设置多个接收短信的备用号码,以防主联系人无法及时处理警情。 - 定期检查和测试系统,确保其正常运行。 - 保持通信模块的SIM卡有足够的余额,以免因欠费导致报警失效。 - 遵守当地法规,获取必要的安装许可和运营...
实现接口防刷,最强方案在这!
01-29 886
优雅的实现接口防刷,最强方案来了~!
java实现发送短信验证码短信验证码防刷校验-49
suiyishiguang的博客
08-18 2468
【大型电商项目开发】商城业务-整合认证中心&验证码倒计时-49
必会接口防刷案例
BASK2312的博客
02-01 1531
实现原理是利用拦截器拦截所有接口请求,然后对需要防刷的接口使用注解标识,在拦截器中判断使用注解的方法,将根据请求的URI和用户信息生成唯一的Key和访问次数存放到redis中,之后的每次请求都会使访问次数加一。为了防止恶意访问接口造成服务器和数据库压力增大导致瘫痪,接口防刷(防止重复提交)在工作中是必不可少的,web项目前端也能够实现,我们要介绍的是后端如何实现接口防刷。我在第一次请求后的30秒内连续访问超过5次请求,会输出我的报错信息,工作中可以跳转自己的错误页面。附上redisUtils代码。
接口安全----接口防刷(拦截器)
qq_47614329的博客
01-03 1104
接口安全----接口防刷(拦截器)
短信防刷的一个小方案
zhaoliu1990的博客
11-22 2236
最近有同事负责的项目短信验证码的的接口被人家刷爆了,突然想起了以前我手上的项目也被刷过,现在谈谈处理方法: 1.首先要知道人家从哪个接口进行的刷短信,这个可以到服务器看请求日志,也可以在短信的过程中写些相应的参数记录下接口来源 2.设置图片验证码,这个是成本最低的做法,太简单也不行,弄个稍微复杂些的背景 3.重复请求验证设置,在每次发送时在数据库记录时间戳,可以设置再几分钟内再次请求的这种直接
如何设计短信验证码防刷机制
热门推荐
u011277123的博客
08-24 1万+
做产品经理 2017-08-23 23:31 最近遇到一个关于防止短信验证码被刷的产品设计问题,后来在面试一个前来应聘JAVA开发的程序员的时候,他也提到了他以前公司的系统也遭遇过这个被刷短信的问题。因此,就“如何设计短信验证码防刷机制”作一个总结和分享。 短信验证码防刷机制 现在,大部分的产品都会涉使用到短信验证码的接口,特别是移动产品,短信验证码几乎成为了所有移动产品
几条短信验证码防刷机制
老刘的博客
08-26 6511
1、时间限制:60秒后才能再次发送 这种方法不是非常有用,技术好点的人可以绕过这个限制发送短信。 2、手机号限制:同一个手机号,24小时之内不能够超过5条 这只能避免手动刷短信,对于批量使用不同手机号码刷短信的机器是无用的。 3、短信验证码限制:30分钟之内发送同一个验证码 30分钟之内,所发送的短信验证码都是同样的。第一次请求短信接口,然后缓存短
短信验证码 api 防刷
07-27
对于短信验证码防刷问题,可以通过以下方法来实现: 1. 验证码有效期限制:设置短信验证码的有效期限,一般为几分钟或十几分钟,超过有效期的验证码将不再被接受。 2. 图形验证码验证:在用户请求短信验证码之前...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值