几条短信验证码防刷机制

最新推荐文章于 2024-05-29 00:11:48 发布
最新推荐文章于 2024-05-29 00:11:48 发布
阅读量6.5k 收藏 2
点赞数
分类专栏: 项目管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liucsen/article/details/77603367
版权
1、时间限制:60秒后才能再次发送


这种方法不是非常有用,技术好点的人可以绕过这个限制发送短信。


2、手机号限制:同一个手机号,24小时之内不能够超过5条


这只能避免手动刷短信,对于批量使用不同手机号码刷短信的机器是无用的。


3、短信验证码限制:30分钟之内发送同一个验证码


30分钟之内,所发送的短信验证码都是同样的。第一次请求短信接口,然后缓存短信验证码结果,30分钟之内再次请求,则直接返回缓存的内容


4、前后端校验:提交Token参数校验


前端(客户端)在请求发送短信的时候,同时向服务端提交一个Token参数,服务端对这个Token参数进行校验,通过之后再向用户发送短信


5、唯一性限制:微信产品,限制同一个微信ID用户的请求数量


如果是微信话,可以通过openID来进行识别,时间段内对同一个openID限制短信数量。


6、产品流程限制:分步骤进行


例如注册场景,将注册的步骤分成2步,用户在输入手机号码之后,甚至加上图形验证码之后,才进入验证码步骤。


以上所说到的几种方式,还可以多个方式结合着来作使用,通过多个规则来降低短信被刷的风险。

如果您有更好的方式,请给我留言。


liucsen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
机制设计
赵阳的博客
11-24 2866
验证码可以验证手机号的有效性,验证应用的地方越来越多,写这篇博文的原因是因为最近我司最近弄了个H5活动,有个发送验证码的功能由于java组没做机制导致。而他们的解决办法令我匪夷所思,因为根本起不到作用。所以想写一篇关于的博文。 也算网络攻击的一种,网络攻一直是相爱相杀的存在。没有绝对的御,只有不断增强御,提高攻击者的攻击成本,使其攻击成本高于收益,从而放弃...
springboot项目实现验证码功能(机制实现)
诺浅的专栏
08-01 1109
springboot项目实现验证码功能
如何验证码?
ldm54466183的博客
02-19 3183
使用redis与前端相结合,实现验证
发送验证码接口的五种简单好用方法绝对够用
itScholar001的博客
05-29 1945
1.前端调用发送接口前,通过密钥(1234abcd)与加密算法,将miyao1234+(16位英文字母与数字字符串) 例如miyao1234wgly1noKSXg47Mn6 进行加密。5.如果解密后包含约定字符串miyao1234,则通过校验,此时注意⚠️,需要将此校验码存入redis,下次如果有相同校验码 则提示重复。前端增加图形验证码,点击发送按钮后增加60s倒计时,60s后才可以再次点击。3.后端接收到后对校验码进行解密,如果解密失败,提示失败。2.前端调用发送接口时,将校验码传递给后端。
面试官:如何轰炸?
磊哥聊Java
02-05 869
本文内容已收录至我的面试网站:www.javacn.site轰炸是项目开发中必须要解决的问题之一,它的优先级不亚于 SQL 注入的问题,同时它也是面试中比较常见的一个经典面试题,今天我们就来看下,如何止这个问题。1.概念介绍轰炸的概念如下:是指使用某种技术手段,伪造大量手机号调用业务系统,盗取并发送大量的问题。这样会导致系统欠费,不能正常发送,同时...
验证机制
风未止
03-08 4761
原文:https://gorpeln.cn/article/15204862561 最近遇到一个关于验证码被的产品设计问题,后来在面试一个前来应聘JAVA开发的程序员的时候,他也提到了他以前公司的系统也遭遇过这个被的问题。因此,就“如何设计验证机制”作一个总结和分享。 1、时间限制:60秒后才能再次发送 从发送验证码开始,前端(客户端)会进行一个60秒的倒数,在这...
destoon7.0注册添加验证验证功能.zip
04-13
首先,我们要理解的是验证验证的基本原理。当用户在注册页面填写手机号码后,系统会向该号码发送一条包含随机数字验证码的。用户需要在指定时间内将接收到的验证码输入到注册页面进行验证。如果输入的...
Android实现获取验证码并自动填写功能
08-29
在Android应用开发中,获取验证码并自动填写是一项常见的功能,...此外,由于Android系统的权限管理机制,获取验证码可能会在不同设备和Android版本上有不同的表现,因此在测试过程中需要充分覆盖各种场景。
验证
05-11
验证码】是一种常见的身份验证方式,特别是在移动应用和网站中,用于确保用户安全并止欺诈行为。在Android开发中,实现验证码功能是至关重要的一步,它涉及到网络请求、用户交互以及第三方服务的集成。 ...
免费验证
05-03
免费验证码系统通常由以下几个主要组件组成: 1. 用户端:用户在APP应用中输入手机号码,请求验证码。 2. 后台服务器:接收到请求后,生成一个随机的验证码,并将其存储在一个临时数据库或内存中,同时通过...
接口攻略
w2556089的博客
10-24 2648
目前大部门互联网公司都会用到接口,但是目前端口很容易被不法分子拿去当作轰炸机,造成公司和个人的损失。 针对如此,我们会采用一系列安全措施来限制别人来。 1、限制手机号的发送频率 缺点:可以被利用同时发给不同手机 2、现在请求端的ip访问频率 缺点:可以被动态代理服务器攻击 3、验证码 优点:此方法基本上可以接口被,目前也有政府,银行等项目采用此方法 确定:用
通道,发送策略
wangyue123com的专栏
07-30 878
一、通道方案 一、使用安全图形验证码,增加识别难度,止通过自动化工具进行攻击请求; 规则:使用手滑动形式的验证码。 二、限制每个手机号的发送次数; 规则:每个手机号每天最多只能发10条; ok 三、单Ip的请求次数限制,止攻击者对服务器进行大量无效请求(在图形验证码未破解的情况下,自动化工具行程错误请求),增加服务器负担; 规则:限制单IP每天请求次数不能超过10次。 四、单用户动态请求间隔时长限制,止对单个用户形成手工攻击,止图形验证码失效后对用户形成大量攻击; 规则:单用户
[原]的简单机制(不使用第三方行为验证
dgao29078的博客
09-07 381
需求 网站接口发送使用url请求,容易被攻击。 目前第三方的行为验证码,御效果应该是最好的,像国内极验、顶象,国外google做的最牛掰,勾选按钮“I'm not a robot”自动区别人机操作。 像ip限制、发送次数限制本文不再说明,目前机器太容易绕过了 机制原理 主要通过增加请求参数的有限性的验证 1.参数name有效性的验证 2.参数value有效性的验证 前台假设的注册页...
接口解决方案
Java知识图谱的博客
04-12 3585
一、序言 在Web开发中,总有一些接口需要暴露在用户认证前访问,发送接口特别是验证码注册接口便是其中典型的一类,这类接口具有如下特点: 流量在用户认证之前 流量在用户认证之前,意味着无法获取用户ID等唯一标识符息对流量限流 手机号未知 手机号未知意味着无法对待发送的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生。 本文将重点聚焦接口的实践。 二、盗流量 在解决之前先认识盗流量的特点和的目标。 (一)的目标 1、减
辅助mongodb.redis一些常见常量,枚举,JSONResult方法,注解类的简单设计
weixin_47057820的博客
08-10 246
枚举类设计 package cn.wolfcode.wolf2w.redis.util; import cn.wolfcode.wolf2w.util.Consts; import lombok.Getter; @Getter public enum RedisKeys { VERIFY_CODE("verify_code", Consts.VERIFY_CODE_VAI_TIME*60L), USER_LOGIN_TOKEN("user_login_token" ,Consts.US
优雅的接口处理方案!
竹林幽深
04-07 909
发表于江苏以下文章来源于JAVA日知录 ,作者飘渺Jam对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个接口早就被人盗不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口。
JAVA面试题分享五百六十三:如何轰炸?
之乎者也·的博客
02-21 1304
轰炸的概念如下:是指使用某种技术手段,伪造大量手机号调用业务系统,盗取并发送大量的问题。这样会导致系统欠费,不能正常发送,同时也给业务系统方,带来了一定的经济损失和不必要的麻烦。轰炸是指攻击者利用某种技术手段,连续、大量地向目标手机号码发送,以达到骚扰、干扰或消耗目标用户的时间、流量与精力的目的。这种行为可能会对受害者造成骚扰、通中断和手机电量消耗过快等问题。
Struts2返回验证
duhua的博客
04-04 641
Struts2输出验证码效果图: Struts2配置清单: Action配置清单: public class ImageAction{ public void gainValiCode()throws Exception { //获得response并设置类型为jpeg ServletActionContext.getRespo
java 验证代码
最新发布
06-30
Java中验证库的代码通常会结合一些策略,如频率限制、滑动验证码、验证码有效期等。这里提供一个简单的示例,展示了如何使用Spring Boot和JWT(JSON Web Tokens)实现基本的操作: ```java import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import org.springframework.util.concurrent.RateLimiter; @Component public class SmsCodeService { @Value("${sms.code.limit:5}") // 每分钟发送验证码次数限制 private int limit; private final RateLimiter rateLimiter = RateLimiter.create(limit / 60); // 使用令牌桶算法 private final long jwtExpiresInSecs = 60; // 验证码有效时间,秒为单位 public void sendSmsCode(String phoneNumber) { if (!rateLimiter.tryAcquire()) { // 如果超过限频,返回false throw new IllegalStateException("Too many SMS requests. Please try again later."); } // 发送验证码... // 生成并返回JWT,附带手机号和过期时间 String jwt = generateJwt(phoneNumber, jwtExpiresInSecs); // 用户可以通过JWT获取验证码,注意存储JWT时要加上安全措施 } private String generateJwt(String phoneNumber, long expiresInSecs) { // 使用JWT库(如jjwt)创建JWT,包含手机号和过期时间 // 示例: // Map<String, Object> claims = new HashMap<>(); // claims.put("phoneNumber", phoneNumber); // claims.put("exp", System.currentTimeMillis() + (expiresInSecs * 1000)); // String jwt = JWT.create().withClaims(claims).signWith(SignatureAlgorithm.HS256, "your-secret-key").toString(); // 返回生成的JWT } } ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值