当前位置:首页 » 资讯中心 » 行业资讯 » 【阅信】短信验证码相关机制

【阅信】短信验证码相关机制

文章出处:阅信短信平台人气:-发表时间:2018-07-04 00:00:00【

验证码获取机制

a. 不同业务场景的短信验证码

对于不同的业务场景,虽然发送短信验证码的接口是同一个,但是会区别不同的短信验证码发起类型而进行发送。常见的场景类似于注册、忘记密码、支付等,特别是涉及到用户个人敏感信息和资金时,为了确认用户本人操作时,通常会使用短信验证码进行二次认证。

b. 前后端校验:提交Token参数校验

前端(客户端)在请求发送短信的时候,同时向服务端提交一个Token参数,请求中不会将手机号等明文参数直接传给服务端。服务端对这个Token参数进行校验,校验通过之后,再向请求发送短信的接口向用户手机发送短信。流程图如下:


验证码时间&次数机制

以下时间和次数限制可以有效对单用户的短信轰炸和多用户的短信骚扰两种攻击场景进行防御。

a. 获取时间限制

从发送验证码开始,前端(客户端)会进行一个60秒的倒数,在这一分钟之内,在该页面,用户是无法提交多次发送信息的请求的。即使退出页面,重新再进入点击获取,会提示获取验证码频繁。

b. 次数限制-连续获取,但不校验

对使用同一个手机号在进行某些场景需要发送短信验证码操作时,连续获取验证码但不校验,系统可以对该手机号进行限制。达到设定次数提示超过上限,无法获取。但只能避免人工手动刷短信,对于批量使用不同手机号码来刷短信的机器无法进行限制。

c. 次数限制-连续获取,同时校验

对使用同一个手机号在一天内获取验证码,有个最大值的限制。

验证码错误机制

对于同一个手机号,如果连续提交错误的验证码,达到一定次数,会导致该手机号锁定一段时间,无法获取,也无法校验。

验证码超时机制

每次的短信验证码是有一定的时效性,超过一定的时间,校验时会提示该验证码已失效,需要重新获取。

验证码校验机制

目前短信验证码的校验分两部分,前端通常会先校验验证码的格式,位数等信息,服务端会对前端发送的内容进行校验。避免将短信验证码暴露在返回中,验证码只存在服务端中并不能通过任何api直接获取。


上一篇:【阅信】手机为什么收不到APP发来的短信验证码?2018-07-03

下一篇:已经是最后一篇了

联系我们
阅信短信平台办公区
北京金楼世纪科技有限公司

公司电话:400-114-8008

企业邮箱: jinloushiji@jinloushiji.cn

地址:北京市西城区新街口外大街 28 号 主楼 323 室

 
咨询热线
400-114-8008