一起分享短信接口被刷解决方案吧

2018-01-09 10:01:51 +08:00
 michael2016

作为与当前业务相关的技术人员,对待外部复杂的用户需要有一个牢靠的安全防护机制才能保障业务稳定、持续的运行,一方面为了自己的私心,可以舒服的工作和生活,睡安稳觉;另一方面,给公司降低资损,投入要跟产出成正比;最关键一点,还是希望业务更加强壮的持续运行,拼命的赚 money。

年末了,新零售、电商、信贷行业的业务系统也比较多,活动遇到的技术问题可能也比较多,今天给大家分享一下 如何防护短信接口或相关业务 API 接口被刷的一些防护经验?我希望和大家一起交流能够互相学习取长补短。

现在有很多 web 站点业务都用了短信验证码作为账号注册、登录、找回密码、投票验证等等业务场景的必备件,用短信验证码的目的是什么?为什么要用?这个我想技术人员要深思一下,这个问题不在此累赘。

如何用好它?

在我遇到的客户中,有很多都是短信接口被刷,有的一天损失几十万的短信配额,资损达到几万 /天,有的技术人员压根就不知道自己的业务被刷了,有的是知道,但是不知道怎么解决? 我先总结几条防护方案: 1.手机号码有效性的逻辑检测 2.前端需要随机校验 3.增加友好的图形验证码 4.同号码短信发送频率限制 5.不同号码请求数量限制 6.梳理清楚业务,适当的对场景流程限定 7.启用 https 协议,全球都在用,还在等什么? 8.单 IP 请求限定,看起来很 low,但是有时候效果很好

以上策略配合着用效果还是不错,现在没有根治的办法,只能缓解 如果大家还有好的点子,我们一起讨论交流一下。

6571 次点击
所在节点    程序员
30 条回复
yongjing
2018-01-10 08:29:59 +08:00
目前在用 token 验证 和 图片验证码验证两种方式 (刷短信的多为短信服务商干的)
michael2016
2018-01-11 12:03:09 +08:00
@tadtung 你可以发表观点,但是无法替代所有的人去草率的用个人角度去评价一个事情是否合适还是不合适,right ?
michael2016
2018-01-11 12:03:51 +08:00
@ORZRRR 当你遇到 CC attack 就会理解真正的含义
michael2016
2018-01-11 12:04:48 +08:00
@qsnow6 粗暴有效果,但是如果你是电商业务,日活量用户上百千万,订单金额在几个亿的话,你这种方式会被老板送进监狱里的
michael2016
2018-01-11 12:06:01 +08:00
@Annual 这样会比较好,仅限于前端,但是有很多 web 端的场景是提供 API 的,业务场景复杂,不具有很强的通用性。
michael2016
2018-01-11 12:08:02 +08:00
@yimaneilicj 还是存在资源浪费,我们要做的就是让成本资源的效益最大化
michael2016
2018-01-11 12:08:47 +08:00
@dangyuluo 个别场景可以这样,但是对于 web 首页登录、注册等场景可能不太适合
michael2016
2018-01-11 12:09:28 +08:00
@yongjing (刷短信的多为短信服务商干的) ,慎言慎行,小心被请喝茶。
michael2016
2018-01-11 12:10:21 +08:00
@iyangyuan 有的场景提供短信登录是为了提升用户体验和安全性,兼容并蓄,不可一棒子打死。
michael2016
2023-05-18 18:29:50 +08:00
没钱自己对抗,缺点是容易掉头发还解决不了问题,有钱就用阿里云防爬蛮好,省心省力,缺点就是费钱。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/421265

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX