Java后端防止获取短信验证码接口被恶意调用的代码实现

最新推荐文章于 2024-05-17 22:15:01 发布
最新推荐文章于 2024-05-17 22:15:01 发布
阅读量6.6k 收藏 63
点赞数 17
分类专栏: Java后端 工具类 文章标签: Java后端 短信验证码 防恶意调用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42023666/article/details/89680342
版权

       项目原来使用的短信验证码接口没有做安全限制,去网上查找了很多的解决方案,无非是在接口调用时添加图形验证码、单ip请求限制、限定每天每个号码获取短信验证码的次数、限制短信验证码的调用频率等。逛了一大圈,发现大家都只是信心满满的分享着一大堆逻辑和方法,至于具体的代码实现,就。。。大概大神们都觉得这东西没有什么技术含量吧。但是我觉得,所有的技术无论高低,业务不管复杂简单,都应该得到尊重,都有被分享的意义。因为在未来漫长的岁月中,总有人会因为这次的分享而得到帮助,哪怕只有一点点。刚好借着这次机会,分享本人一时性起写出的demo(只有逻辑哦,核心业务用你自己的就好),希望此贴之后,越来越多更牛逼的和更完善的demo能被各路高手实现和分享出来,也不枉我辈青年才俊将最美好的十年给了 IT 这一行!

      下面请看业务层的代码:

package demo;

import java.text.ParseException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang.StringUtils;
import org.apache.log4j.Logger;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import com.alibaba.fastjson.JSON;

/**
 * @author hqq
 * 
 */
@Service("mobileService")
public class MobileServiceImpl implements MobileService {

	private static final Logger logger = Logger.getLogger(MobileServiceImpl.class);

	@Override
	public Result findCode(String mobile, String type, String imgCode, HttpServletRequest request) {
		//mobile字段是传入的用户名,即手机号,必传字段;
		//type是传入的需要发送的短信类型,必传字段,如登录,注册等(也可以不区分,按个人爱好喽);
		//imgCode是传入的图形验证码,非必传字段,因为只有今日第四次调用该接口时才需要校验图形验证码
		
		Result result = new Result();

		//校验请求参数是否正确
		if (StringUtils.isBlank(mobile) || StringUtils.isBlank(type)) {
			result.setSuccess(false);
			result.setMsg("请求参数不全");
			return result;
		}

		mobile = mobile.trim();
		// 判断传入的手机号格式是否正确
		if (mobile.length() != 11 || !MobileUtil.isMobileNum(mobile)) {
			result.setSuccess(false);
			result.setMsg("手机号格式不正确");
			return result;
		}

		// 要发送的短信验证码,生成六位数字验证码
		String mobileCode = (int) ((Math.random() * 9 + 1) * 100000) + "";

		String modelCode = null;//我这里使用的是阿里云的短信服务,
                    //调用阿里云的短信接口需要传入一个模板code参数,
                    //这个code再你申请短信模板时就会产生,且固定的值
		
		//判断当前要发送的是哪种类型的短信,不同的类型的验证码应该进行区分,这样可以提高
        //用户体验;区分的参数由调用者(前端开发人员)传入,通常不会出现参数不存在的问题
		switch (type) {
			case "register":// 发送注册的短信验证码
			
				//核心业务隐身符1,用手机号去自己数据库查询当前用户是否存在,
                //如果存在,则不能发送该类手机验证码,提示用户直接登录
				if(手机号已注册){//伪代码
					result.setSuccess(false);
					result.setMsg("当前手机号已注册,请直接登录");
					return result;
				}
				
				modelCode = "SMS_123456788";
				break;
				
			case "reset":// 发送重置登录密码的短信验证码
			
				//核心业务隐身符1,用手机号去自己数据库查询当前用户是否存在,
                //如果不存在,则不能发送该类手机验证码,提示用户注册
				if(手机号未注册){//伪代码
					result.setSuccess(false);
					result.setMsg("当前手机号未注册,请先注册");
					return result;
				}

				modelCode = "SMS_987654321";
				break;
	
			default:
				result.setSuccess(false);
				result.setMsg("非法请求");
				return result;
		}

		String mobileKey = type+"_mobile_" + mobile;
		String todayKey = "today_mobile_code_times_" + mobile;

		// 验证码三十分钟内有效,并且距离上一次发送要超过2分钟的时间才能重新发送
		Long times = RedisUtils.ttl(mobileKey);
		if (times > 60 * 28) {
			result.setSuccess(false);
			result.setMsg("距离您上次发送验证码不足两分钟,请两分钟后再尝试获取");
			return result;
		}
		
		// 判断当前手机号今天发送密码次数是否已达上线,每天15条(具体条数根据自己的需求调用)
		String todayTimes = RedisUtils.get(todayKey);
		int todayCount = 1;
		if (todayTimes != null) {
			todayCount = new Integer(todayTimes);
			if (todayCount >= 15) {
				
				//此时还可以记录当前用户的手机号,ip,调用的短信验证码类型到表中,
                //方便系统记录与分析。系统可以分析该用户该周该月调用短信接口的次数
				//由此来分析该ip的用户是否是正常的用户,如果调用太频繁,
                //比如连续一周或数周都在调用该接口,系统可以暂时禁用该ip发来的请求,
                //或者降低该手机号获取短信验证码的次数一般大网站通常都得使用大数据来监控了,
                //而小网站,就没必要整的这么复杂了
				
				result.setSuccess(false);
				result.setMsg("当前手机号今日发送验证码已达上限,请明日再来");
				return result;
			}
			todayCount++;
		}
		
		//今天发送短信超过三次,再次调用接口时,需要调谷歌图形验证码
		if(todayCount>3){
			result.setStatus(1);//只要今日获取验证码次数超过三次,
                            //之后每次获取都要谷歌验证码,这个标识返回给前端,
                              //前端看到这个值,需要调用谷歌图形验证码,
                            //待用户输入图形验证码后才能调用该接口
			
			if(StringUtils.isBlank(imgCode)){
				result.setSuccess(false);
				result.setMsg("为保证您账号安全,本次请求需要输入图形验证码");
				return result;
			}
			
			// 检验图形验证码
			String kapchatKey =type+ "_kaptcha_" + mobile;
			String kapchat = RedisUtils.get(kapchatKey);//获取redis数据库保存的谷歌图形验证码
			if (kapchat == null) {
				result.setMsg("图形验证码已失效,请重新输入");
				result.setSuccess(false);
				return result;
			} else if (!kapchat.equals(imgCode.toLowerCase())) {
				result.setSuccess(false);
				result.setMsg("您输入的验证码错误,请重新输入");
				return result;
			}
		}else if(todayCount==3){
			result.setStatus(1);//这已是第三次调用,下次调用时,就得传入谷歌验证码
		}

		String msg = "";//发送短信验证码是否成功与失败

		try {
			
			//发送短信验证码,请求成功后返回指定标识,请求失败,可以返回失败的信息,
            //方便开发人员排查bug。此处使用的是阿里云的短信服务,
            //你也可以使用其他的短信服务,此处不做赘述
			msg = MobileCodeUtils.sendCode(mobile, modelCode, mobileCode);
				
			logger.info("手机号:" + mobile + " 的验证码是:" + mobileCode);

			if (msg != null && "SUCCESS".equals(msg)) {
				result.setSuccess(true);
				result.setMsg("您的手机验证码发送成功,请注意查收,本验证码30分钟内有效");

				// 保存验证码到redis
				RedisUtils.set(mobileKey, mobileCode, 60 * 30 + 5);//redis中的code比实际要多5秒

				// 记录本号码发送验证码次数
				RedisUtils.set(todayKey, todayCount + "", MobileUtil.getSurplusTime());

				// 删除图形验证码
				RedisUtils.del(kapchatKey);

			} else {
				result.setSuccess(false);
				result.setMsg("短信验证码发送失败:" + msg);
				return result;
			}

		} catch (Exception e) {
			result.setSuccess(false);
			result.setMsg("获取短信验证码异常:" + e.getMessage());
			logger.info("获取手机验证码异常:" + e.getMessage());
			return result;
		}
		
		//此处需要添加操作流水,记录哪个手机号,哪个ip,哪个时间调用了哪种类型的接口
		

		return result;
	}
}

获取谷歌kaptcha图形验证码的方式请看我的上一篇博客:https://blog.csdn.net/weixin_42023666/article/details/89561592

RedisUtils.java工具类请看我的另一篇博客:https://blog.csdn.net/weixin_42023666/article/details/89287418

MobileCodeUtils.java是封装好的调用第三方短信验证码的工具类,此时我使用的是阿里云的短信服务,各位只需将自己项目原来的短信工具类进行修改,只要能保证发送短信的功能就可以了。具体的不赘述,毕竟不是本帖的重点,阿里云短信服务的接入可以参考这篇博文:https://blog.csdn.net/weixin_42023666/article/details/101770229 ,也可自行百度。

 

然后是MobileUtil.java类:

package mobile;

import java.util.regex.Pattern;
import java.util.Calendar;
import java.util.Date;

import org.apache.commons.lang.StringUtils;

/**
    * @ClassName: MobileUtil  
    * @author hqq  

 */
public class MobileUtil {
	
	/**
	 * 正则表达式:验证手机号
	 */
	private static final String REGEX_MOBILE = "^((13[0-9])|(15[^4,\\D])|(18[0-3,5-9])|(17[0-9]))\\d{8}$";
	
	/**
	 * 判断是否是手机号格式,如果传入的是空串,返回false
	 * @param mobile
	 * @return 校验通过返回true,否则返回false
	 */
	public static boolean isMobileNum(String mobile) {
		if(StringUtils.isBlank(mobile)){
			return false;
		} 
		
		return Pattern.matches(REGEX_MOBILE, mobile);
	}
	
	/**
	 * 获取今日的剩余时间,返回值单位:秒
	 * @return
	 */
	public static Integer getSurplusTime(){
		Calendar c = Calendar.getInstance();
		long now = c.getTimeInMillis();
		c.add(Calendar.DAY_OF_MONTH, 1);
		c.set(Calendar.HOUR_OF_DAY, 0);
		c.set(Calendar.MINUTE, 0);
		c.set(Calendar.SECOND, 0);
		c.set(Calendar.MILLISECOND, 0);
		long millis = c.getTimeInMillis() - now+2000;

		return (int)(millis/1000);
	}
	
}

 

至此,本帖分享结束。

 

风难追
关注
  • 17
    点赞
  • 63
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
JAVA aop方式实现 防止请求轰炸
SUNJsun_的博客
06-30 164
3.在controller 层的接口上面加上注解。
Java场景面试题:短信验证码接口被狂刷,怎么办?
Tom弹架构
02-23 1718
请问短信验证码接口被狂刷,搞得服务都快要崩溃了,我该怎么办?
防止恶意攻击短信验证码接口方法
新新
07-12 1万+
防止恶意攻击短信验证码接口方法、短信运营商调研选型
验证码
最新发布
qq_62965575的博客
05-17 212
java结合redis实现验证码
java对外接口安全问题_怎么保证对外暴露接口的安全性(调用频率限制)
weixin_32770687的博客
02-17 1537
如何限制接口调用者对接口调用频率?问题:对某个对外暴露的接口加一个限制:调用者一分钟之内调用次数不能超过100次,如果超过100次就直接返回给调用者失败的信息。给调用者一个SECRET,每次调用者需要调用接口的时候,都需要把这个SECRET带过来(为了安全需要对key进行一系列加密的措施)一个SECRET就代表一个调用者,把相应的SECRET的调用次数放入缓存中(必须确保次数增加的原子性),并且...
Java接口刷策略(自定义注解实现
single_cong的博客
06-01 6380
目的 短信发送及短信验证码校验接口刷 一方面防止用户循环调用短信验证码 另一方面防止用户循环调用短信验证码(一般短信验证码为6位纯数字,一秒钟上百次调用,如果不做限制很快就能试出来了) 很多接口需要防止前端重复调用 误操作多次点击,不属于攻击类型,正常用户经常会触发的,例如信息发布可能前端限制未做好,误点击了多次,这种情况实际上应该只记录第一次的,后续的不应该继续操作数据库。 极端的情况 可能很多接口一天或者很长时间只能调用一次(类似签到?个人想法是尽量不让数据到了数据库层再抛异常) 解决措施 利
避免短信接口被黑客攻击的方式
javagty6778的博客
03-05 701
这里为大家介绍了四个简单易行的避免短信服务接口调用的方法,以及实际使用中的注意事项。限制短信的发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信火墙,都可以提高黑客攻击接口的难度。在实际的接口护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。
java防止注册刷短信攻击_java面试(1)如何防止恶意攻击短信验证码接口
weixin_33498081的博客
02-24 1495
防止恶意攻击短信验证码接口方法1、手机号码限制:限制单个手机号码每天的最大发送次数。超过次数不能发送短信,可以考虑将手机号码加入黑名单,禁止1天。 2、短信发送时间间隔限制:限制同一个手机号码重复发送的时间间隔。通常设置为60-120秒,前端做倒计时限制,时间未到不能点击发送短信按钮,后台也做时间间隔限制,时间未到不能发送短信。 3、IP地址限制:限制每个IP地址每天的最大发送次数。防止通过同一个...
java web实现手机短信验证码登录实例源码.rar
01-28
在这个"java web实现手机短信验证码登录实例源码"中,我们可以深入理解如何在Web应用中集成手机短信验证码功能,以增强用户账户的安全性。 首先,短信验证码登录是现代Web应用中常见的安全机制,它通过发送一个一次...
Spring MVC 中 短信验证码功能的实现方法
09-01
在Spring MVC框架中实现短信验证码功能,主要涉及前端与后端的交互以及第三方短信平台的集成。以下将详细讲解这一过程的关键步骤。 首先,我们需要一个短信接口,这通常是通过购买第三方服务来获得的。比如,一些...
获取短信验证码并自动填写demo
03-14
这个“获取短信验证码并自动填写demo”显然是一款示例应用或代码片段,旨在展示如何实现这一功能。下面将详细介绍短信验证码的原理、工作流程以及可能涉及的技术。 短信验证码的工作原理: 短信验证码通常由服务...
Android使用第三方服务器Bmob实现发送短信验证码
01-20
- 为了防止恶意攻击,通常会设置短信发送频率限制,比如同一手机号短时间内不能频繁请求验证码。 - 确保在用户输入验证码后,尽快进行验证,避免验证码过期。 - 验证码的有效期也需要设定,过期未使用的验证码应自动...
关于Java实现短信验证
05-28
使用SDK提供的接口,编写Java代码来发送短信验证码。这通常包括设置短信模板、接收手机号、签名等内容。例如: ```java CloudCCSClient client = new CloudCCSClient(appId, appKey); SMSMessage message = new ...
短信验证码攻击、轰炸
qq_40024529的博客
12-03 6501
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
短信接口恶意调用?企业短信火墙+【中昱维信】短信验证码Java
热门推荐
01-31 9万+
在用户登录、注册环节,为了防止机器攻击,一般要通过短信验证来解决,但引入短信验证码机制后,验证短信又可能被攻击, 为了防止短信验证机制被攻击, 传统做法是增加谷歌图形验证码,但在AI能力迅猛发展的时代却形同虚设, 新昕科技在交易反欺诈核心上, 通过AI快速学习机制,结合国际领先的设备指纹技术,首次推出无需图形验证码机制的企业短信火墙
nginx 过滤post报文 火墙_详解nginx限制IP恶意调用短信接口处理方法
weixin_39590739的博客
11-20 306
真实案例:查看nginx日志,发现别有用心的人恶意调用API接口刷短信:30966487 115.213.229.38 "-" [05/Jun/2018:14:37:29 +0800] 0.003 xxxxxx.com "POST /xxx/sendCheckCode HTTP/1.1" 401 200 46 xx.xx.xx.xx:0000 0.003 200 "Mozilla/5.0 (Win...
java 防止恶意短信验证码_用户使用java短信验证码时要做好三个保护
weixin_39743414的博客
02-25 1476
java短信验证码的出现,对企业来说,是减少了运营费、人工费、操作费,带来了方便也带了利益;对于广大用户朋友来说,它也保护了个人的信息安全,确保了自己网上支付时没有威胁风险。但是有些朋友对于java短信验证码还不够了解,不能正确的使用,为了让用户朋友更好的享受到java短信验证码带来的好处,特建议广大用户朋友做好三个保护!1.保护好自己的手机每一条短信验证码都是有它自己的意义。有时候是你注册微博、...
java实现发送短信验证码短信验证码刷校验-49
suiyishiguang的博客
08-18 2452
【大型电商项目开发】商城业务-整合认证中心&验证码倒计时-49
短信验证码接口及其具体实现逻辑(用java代码实现
07-08
以下是一个用Java代码实现短信验证码接口的示例: ```java import java.util.HashMap; import java.util.Map; import java.util.Random; public class SMSVerification { private Map<String, String> verificationCodes = new HashMap<>(); // 生成随机的验证码 private String generateVerificationCode() { Random random = new Random(); int code = random.nextInt(900000) + 100000; // 生成6位随机数 return String.valueOf(code); } // 发送验证码 public void sendVerificationCode(String phoneNumber) { String code = generateVerificationCode(); verificationCodes.put(phoneNumber, code); // 调用短信网关接口发送验证码 // 在这里可以使用具体的短信服务提供商的API进行发送短信操作 // 例如:sendSMS(phoneNumber, "您的验证码是:" + code); System.out.println("验证码已发送至:" + phoneNumber); } // 验证验证码 public boolean verifyVerificationCode(String phoneNumber, String code) { String storedCode = verificationCodes.get(phoneNumber); return storedCode != null && storedCode.equals(code); } // 示例用法 public static void main(String[] args) { SMSVerification smsVerification = new SMSVerification(); String phoneNumber = "123456789"; // 假设用户的手机号码为123456789 smsVerification.sendVerificationCode(phoneNumber); // 模拟用户输入验证码的过程 String userInputCode = "123456"; // 假设用户输入了验证码123456 if (smsVerification.verifyVerificationCode(phoneNumber, userInputCode)) { System.out.println("验证码验证通过"); // 验证通过后可以执行后续操作 } else { System.out.println("验证码验证失败"); // 验证失败需要重新获取验证码或者进行其他处理 } } } ``` 以上是一个简单的短信验证码接口Java代码实现示例。其中,`sendVerificationCode`方法用于发送验证码,`verifyVerificationCode`方法用于验证用户输入的验证码是否正确。 请注意,示例中的发送短信部分是空缺的,您需要根据您所使用的短信服务提供商的API来实现具体的发送短信功能。可以将发送短信的代码替换为相应的API调用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值