現在的登錄一般都采用手機號+驗證碼進行注冊,登錄。
容易被攻擊的接口:注冊時用戶輸入號碼就可直接觸發短信!最容易被短信轟炸機利用,只要網站被搜索引擎收錄,短信轟炸機就很容易檢索到注冊頁面。的
防止攻擊的集中常見做法,
1、請求短信驗證碼接口的時候加上圖形驗證碼,只有正確輸入圖形驗證碼,才發送請求,這是現在互聯網公司最常用的做法
2、流程驗證,用戶在注冊完畢獲得用戶名和密碼之后,才請求短信驗證碼接口,這個不常用
3、要求錄入一大堆注冊數據,然后才請求短信驗證碼接口,這種在PC端好用,移動端不建議這樣使用
4、服務器設置同一個號碼連續請求的時間間隔,比如120秒種發一次
5、IP,移動設備名,進行限制,一個ip或者設備一天只能請求多少次
6、限制同一個手機號每天請求的次數
一般最常用的方法是1+6,這樣基本可以解決惡意訪問短信接口的問題!