作为与当前业务相关的技术人员,对待外部复杂的用户需要有一个牢靠的安全防护机制才能保障业务稳定、持续的运行,一方面为了自己的私心,可以舒服的工作和生活,睡安稳觉;另一方面,给公司降低资损,投入要跟产出成正比;最关键一点,还是希望业务更加强壮的持续运行,拼命的赚 money。
年末了,新零售、电商、信贷行业的业务系统也比较多,活动遇到的技术问题可能也比较多,今天给大家分享一下 如何防护短信接口或相关业务 API 接口被刷的一些防护经验?我希望和大家一起交流能够互相学习取长补短。
现在有很多 web 站点业务都用了短信验证码作为账号注册、登录、找回密码、投票验证等等业务场景的必备件,用短信验证码的目的是什么?为什么要用?这个我想技术人员要深思一下,这个问题不在此累赘。
如何用好它?
在我遇到的客户中,有很多都是短信接口被刷,有的一天损失几十万的短信配额,资损达到几万 /天,有的技术人员压根就不知道自己的业务被刷了,有的是知道,但是不知道怎么解决? 我先总结几条防护方案: 1.手机号码有效性的逻辑检测 2.前端需要随机校验 3.增加友好的图形验证码 4.同号码短信发送频率限制 5.不同号码请求数量限制 6.梳理清楚业务,适当的对场景流程限定 7.启用 https 协议,全球都在用,还在等什么? 8.单 IP 请求限定,看起来很 low,但是有时候效果很好
以上策略配合着用效果还是不错,现在没有根治的办法,只能缓解 如果大家还有好的点子,我们一起讨论交流一下。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.