短信防刷办法

最新推荐文章于 2025-06-06 13:40:42 发布
最新推荐文章于 2025-06-06 13:40:42 发布
阅读量2.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: PHP 文章标签: 短信 验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Merciwen/article/details/73825217

短信接口在业务中是必然会有的,那么怎么保证接口被刷呢?
我简单总结一下我的想法

  1. 首先可以考虑在页面上加上 验证码。可以减少人为的刷票
  2. 大量的被刷还应该是直接对接口的调用,这里面应该怎样防止被刷呢
  3. 可以考虑业务端 和 借口段 对应 token 识别表单令牌是否合法,但是这个令牌必须要一直变。不变的话就没有意义了。(时间,其他的变化的参数都可以成为token的元素)
  4. 还可以考虑对IP的限制。每个IP不可以调用太多的接口
  5. 每个手机号每天的调用次数也要限制
  6. 这些都有可能被攻克,做好预警监控机制。一段时间短信变化明显,或者超过预期的数量,要及时查看系统是否正常运行,
/**
     * 手机登录验证码
     * @author marain
     * @time  2017-06-27
     * 
     */
    public function get_code(){
        $phone  =   $_REQUEST['tel'];
        $token_key =   $_REQUEST['token_key'];
        $key='marain';
        $now=date('Y-m-d');
        $signkey=md5($key.$now.$phone.'marain'); //根据手机号和时间产生 token

        if ($token_key !== $signkey){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4001:令牌错误';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        if ($phone==''){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4002:电话不能为空';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        if (!preg_match("/^1[34578]\d{9}$/", $phone)){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4003:电话格式不正确';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        $ip=get_client_ip();
        $where_ip['create_ip']=$ip;//ip控制

        $sms_data = M('App_sms')->where($where_ip)->select();
        $today_date = date('Y-m-d');
        $total_onoip_count=0;
        foreach ($sms_data as $k1=>$v1){
            if(substr($v1['create_time'],0,10) == $today_date){
                $total_onoip_count++;
            }
        }
        if (count($sms_data) > 500){
           //ip 大于500报警
        }
        if ($total_onoip_count> 100){
            //单日ip 大于100报警
        }

        $where_who['tel_number']=$phone;
        $sms_data = M('App_sms')->where($where_who)->order("id desc")->select();

        //这个手机号没有注册
        if(empty($sms_data)){
            $code = $this->_create_code();
            $this->send_sms($phone, $code, $ip);
            $result = array();
            $result['code']    =200;
            $result['msg']    ='获取成功';
            $result['info']     = $code;
            echo json_encode($result);
            exit();
        }

        $total_send_count = 0;
        foreach($sms_data as $key1=>$row1){
            if(empty($key1)){
                $last_send_time = $row1['create_time'];
            }
            if(substr($row1['create_time'],0,10) == $today_date){
                $total_send_count++;
                $code = $row1['code'];
            }
        }
        if(empty($code)) $code = $this->_create_code();

        if((strtotime($last_send_time) + 60) > time()){
            $result['code']    =400;
            $result['msg']    ='4004:获取失败,请不要频繁获取';
            $result['info']     = '';
        }else{
            if($total_send_count < 30){
                $this->send_sms($phone, $code, $ip);
                $result['code']     =200;
                $result['msg']      ='获取成功';
                $result['info']     = $code;
            }else{
                $result['code']    =400;
                $result['msg']    ='4005:获取失败,每人每天只能获取三十次验证码';
                $result['info']     = '';
            }
        }
        echo json_encode($result);
        exit();
    }

    /**
     * 产生验证码
     */
    public function _create_code($length=4,$type="number"){
        $array = array(
            'number' => '0123456789',
            'string' => 'ABCDEFGHIJKLMNOPQRSTUVWXYZ',
            'mixed' => '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ',
        );
        $string = $array[$type];
        $count = strlen($string)-1;
        $rand = '';
        for ($i = 0; $i < $length; $i++) {
            $rand .= $string[mt_rand(0, $count)];
        }
        return $rand;
    }
private function send_sms($mobile, $code, $ip){
        if(empty($mobile) || empty($code) || empty($ip)) return false;
        $content = '您的注册验证码是'.$code;
          $url='发送短信接口'
        //$send_result = file_get_contents($url);
        $data = array();
        $data['tel_number'] = $mobile;
        $data['content'] = $content;
        $data['code'] = $code;
        $data['create_time'] = date('Y-m-d H:i:s');
        $data['create_ip'] = get_client_ip();
        $data['send_result'] = $send_result;
        $insertid = M('App_sms')->add($data);
        if($insertid) return true;
        return false;
    }
【漏洞挖掘】——146、 短信验证码暴力破解
Fly_鹏程万里
08-05 1337
验证码机制主要被用于止暴力破解、止DDoS攻击、识别用户身份等,常见的验证码主要有图片验证码、邮件验证码短信验证码、滑动验证码和语音验证码,比如短信验证码大部分情况下是由4~6位数字组成,如果没有对验证码的失效时间和尝试失败的次数做限制,攻击者就可以通过尝试这个区间内的所有数字来进行暴力破解攻击。
短信机制设计
赵阳的博客
11-24 2963
短信验证码可以验证手机号的有效性,短信验证应用的地方越来越多,写这篇博文的原因是因为最近我司最近弄了个H5活动,有个发送短信验证码的功能由于java组没做机制导致短信。而他们的解决办法令我匪夷所思,因为根本起不到作用。所以想写一篇关于的博文。 短信也算网络攻击的一种,网络攻一直是相爱相杀的存在。没有绝对的御,只有不断增强御,提高攻击者的攻击成本,使其攻击成本高于收益,从而放弃...
如何设计短信验证码机制
u011277123的博客
08-24 1万+
做产品经理 2017-08-23 23:31 最近遇到一个关于短信验证码的产品设计问题,后来在面试一个前来应聘JAVA开发的程序员的时候,他也提到了他以前公司的系统也遭遇过这个被短信的问题。因此,就“如何设计短信验证码机制”作一个总结和分享。 短信验证码机制 现在,大部分的产品都会涉使用到短信验证码的接口,特别是移动产品,短信验证码几乎成为了所有移动产品
SpringBoot 接口的5种方案,太强了!
最新发布
码猿技术专栏
06-06 87
然后,我们移除过期的请求记录,统计当前窗口内的请求数。令牌桶算法是一种更加灵活的限流算法,它就像一个装有令牌的桶,系统会以固定的速率向桶中添加令牌,每个请求需要从桶中获取一个令牌才能被处理。恶意的高频请求如同隐藏在暗处的“杀手”,不仅会大量消耗服务器宝贵的资源,还可能引发数据异常,严重时甚至会导致整个系统瘫痪,给业务带来不可估量的损失。阿里巴巴开源的 Sentinel 是一个强大的流量控制组件,它就像一个智能的“交通警察”,可以对系统的流量进行实时监控和控制,提供了丰富的限流、熔断、系统保护等功能。
如何短信接口被
写给自己的博客
08-04 2724
短信验证码作为重要的身份验证工具,因其操作简便、安全性高、时效性强等优点已被开发人员广泛使用。但因其获取便利、限制较少容易被不法分子利用进行短信轰炸,恶意掉大量短信费用,给公司或个人造成大量的金钱损失,造成这种情况原因主要是在产品实际设计过程中,有些产品人员因为对技术实现不太了解,范意识薄弱,简单或直接忽略对短信验证码进行限制,这才造成短信接口恶意被不法分子利用。 在介绍策略前我们需要了解下常见的短信验证的行为。 1.以攻击手机号为目的短信验证码 这类攻击目标主要是攻击者借助web网.
短信接口解决方案
Java知识图谱的博客
04-12 4163
一、序言 在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点: 流量在用户认证之前 流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流 手机号未知 手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信。 本文将重点聚焦接口的实践。 二、盗流量 在解决之前先认识盗流量的特点和的目标。 (一)的目标 1、减
注册短信验证码设计方案
点滴记忆,分享成长之路
12-06 834
1.需求:一定时间内禁止重复发送短信 两个时间要求 60秒后才可以重新发送短信验证码 发送的短信验证码10分钟内有效 2.方案 方式一:前端增加校验倒计时,不到60秒按钮不给点击 简单,不安全,存在绕过的情况 方式二:增加Redis存储,发送的时候设置下额外的key,并且60秒后过期 非原子操作,存在不一致性,增加的额外的key - value存储,浪费空间 /** * 前置:判断是否重复发送 * * 1、存储验证码到缓存 * * 2、发送短信验证码 * * 后置:...
我们公司的短信接口被了,瞬间损失两万,怎么解决?(短信接口被盗系列1)
热门推荐
02-03 9万+
前两天的中午像往常一样热,太阳不知疲倦的在天空燃烧,热跑了云彩和鸟儿,马上就要点燃空气和我的脑神经。为我和电脑降温的,是我简陋的书桌上的小电扇,没有它的话,键盘太热,我可能就要写不下去代码了。 正在此时,旁边的手机嗡嗡的震了两声,对于手机从来不敢开铃声的人来说,这个震动的声音实在太熟悉了,不用说,应该是广告短信,或者有人加我微信好友了。因为短信我基本上从来不看,微信消息不会有提示,只有加好友才有,由于最近有不少朋友看到我写的文章,所以每天加我好友的还是不少的,我都是找空闲时间统一处理。所以,我还是继续写我
带标签短信实战源码分享
06-16
- **机制**:为了止恶意攻击,需要设置频率控制和IP黑名单,确保验证码的有效性和用户信息安全。 - **法律法规**:营销短信需要遵循相关法律法规,例如中国的《互联网信息服务管理办法》等,确保不侵犯用户...
短信、邮箱如何做好攻击的逻辑设计
MZ_22172217的博客
08-17 735
大家好,我是IT修真院深圳分院第十期学员,一枚正直纯洁善良的JAVA程序员。 今天给大家分享一下,修真院官网JAVA任务七——短信、邮箱如何做好攻击的逻辑设计   1.背景介绍 api简介 API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源...
短信浅谈对设计模式的应用
t_chao的专栏
09-09 206
说起设计模式,可能很多开发小伙伴的印象是-一个牛逼的东西,我这里直接引用百度百科的解释:设计模式(Design Pattern)是一套被反复使用、多数人知晓的、经过分类的、代码设计经验的总结。-百度百科 在互联网高速发展的8102年,由于短信验证具有操作简单、时效性强等优点,各类应用对短信的应用也越来越普遍,登录可以用短信验证码、付款可以用短信验证码、找回密码也可以用短信验证码……如果验证码短信应用不当,很有可能被不法分子利用,引起短信轰炸、短信诈骗等不法行为;同时,也将为公司或个人造成金钱损失。 接下
从前端和后端看,如何短信接口被盗攻击
qq_35141640的博客
07-30 1451
上一篇写了DDos攻击,想起之前公司也遇到过短信接口被攻击,说来惭愧,那段代码还是自己写的,当时没考虑到短信接口的安全性,导致公司短信余额被完(还好短信账户剩的余量也不多了,不然给公司带来大损失),以下总结了几种短信接口被盗的方法,仅以前端和php后端两方面解释。 1. 加图形验证码 最直接且有效且免费(关键)的方法,加图形验证码。 如果你觉得这类图形验证码容易被破解,可以是这添加干扰点或者使用中文,或者觉得和用户交互不好看,市面上还有很多类似的验证产品,如极验,都是不错的方案,但是要收费。 2.
如何短信验证被盗
Xly_blog
03-08 6025
      在php聊天群里,有位同学说 他们的5000块钱的短信,两天被完了!,问群里大佬怎么办!就一般的短信验证盗而言(通过修改手机号修改验证码),我们通常的短信被滥发,就是(1)限制每个手机号的发送次数类似://检查发送次数 $key = "mobileReg_sms_send_times:" . $mobile . ":" . date("Ymd"); $smsSendTime...
JAVA面试题分享五百六十三:如何短信短信轰炸?
之乎者也·的博客
02-21 1830
短信短信轰炸的概念如下:短信是指使用某种技术手段,伪造大量手机号调用业务系统,盗取并发送大量短信的问题。这样会导致短信系统欠费,不能正常发送短信,同时也给业务系统方,带来了一定的经济损失和不必要的麻烦。短信轰炸是指攻击者利用某种技术手段,连续、大量地向目标手机号码发送短信,以达到骚扰、干扰或消耗目标用户的时间、流量与精力的目的。这种行为可能会对受害者造成骚扰、通信中断和手机电量消耗过快等问题。
避免短信接口被黑客攻击的方式
WLANQY的博客
01-16 452
这里为大家介绍了四个简单易行的避免短信服务接口被调用的方法,以及实际使用中的注意事项。限制短信的发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信火墙,都可以提高黑客攻击接口的难度。在实际的接口护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。作者:香芋味的猫丶。
ASP.NET中实现无验证码的开发 - C#
HackQuestR的博客
10-03 110
在ASP.NET中,我们可以通过使用AJAX技术来实现无验证码,提升用户体验。在项目中,我们需要创建一个验证码生成器,用于生成验证码图片和验证用户输入的验证码。同时,在表单中添加一个文本框用于用户输入验证码。当用户提交表单时,我们可以通过比较用户输入的验证码和Session中保存的验证码```html。在项目中,我们需要添加一些必要的引用,以便在后续的开发中使用。当用户提交表单时,我们通过比较用户输入的验证码和Session中保存的验证码来进行验证,如果不一致,则阻止表单提交并提示用户重新输入验证码
一个注解搞定 SpringBoot 接口,止客户端重复提交
Eat_a_meal的博客
02-27 455
技术要点:springboot的基本知识,redis基本操作。 首先是写一个注解类: import java.lang.annotation.Retention; import java.lang.annotation.Target; import static java.lang.annotation.ElementType.METHOD; import static java.lang.annotation.RetentionPolicy.RUNTIME; /** * @author yhq
优雅的接口处理方案!
竹林幽深
04-07 1165
发表于江苏以下文章来源于JAVA日知录 ,作者飘渺Jam对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口。
漏洞解决方案-短信炸弹攻击
smart的博客
08-18 1万+
短信炸弹攻击一、前置知识二、修复方案三、代码参考 一、前置知识 短信炸弹攻击,就是通过把发送短信验证码的报文截获后进行重放造成的攻击。 威胁描述: 如果短信炸弹攻击成功,攻击者可以向该手机号一直不停的发送短信,不但因短信过多发送造成经济损失,甚至会使短信系统崩溃,无法正常提供服务。 涉及功能点: 任何涉及短信验证码发送的功能点,如用户注册、登录、转账等功能。 二、修复方案 前端控制,通过图形验证码的验证,如果验证不通过则不允许发送短信; 其次为止类似httpclient工具直接请求没有session的情
办法设置多端登录吗
03-17
<think>嗯,用户想了解如何实现多端登录功能。首先,我需要明确多端登录的定义,应该是指同一个账号可以在多个设备同时登录,比如手机、电脑、平板等。接下来要考虑的是用户的需求场景,比如是否需要限制设备数量,是否需要实时同步登录状态,安全性如何保障。 然后,我得回忆一下常见的解决方案。单点登录(SSO)可能相关,但SSO更多是解决多个系统间的登录问题,而多端登录可能更侧重于同一系统内的多个设备同时在线。可能需要参考引用中的单点登录方案,比如引用[2]提到的平台内部单点登录实现方案,或许可以借鉴其中的令牌机制。 接下来,用户可能需要的功能包括:令牌管理、设备管理、会话同步、安全控制。令牌管理方面,每个设备生成独立的令牌,这样即使一个设备退出,其他设备不受影响。设备管理需要记录设备信息,比如设备类型、登录时间、最后活跃时间等,方便用户查看和管理。会话同步可能需要通过WebSocket或长轮询来实时更新登录状态,但引用[4]提到的轮询机制也可以作为一种备选方案,虽然实时性稍差。 安全方面,需要考虑止账号盗用,比如异地登录检测、设备指纹识别、二次验证等。引用[1]提到的验证码存储和机制可能在这里有用,比如在陌生设备登录时要求短信验证码。同时,引用[3]中的时间戳记录方案可能对会话超时管理有帮助,设置不活跃超时自动退出。 在实现步骤上,可能需要分后端和前端。后端需要处理令牌生成、存储、验证,设备信息管理,会话状态的同步通知。前端则需要处理令牌的存储,定期发送心跳保持活跃,以及接收强制下线通知。 还需要考虑数据存储,比如使用Redis存储活跃令牌和设备信息,关系型数据库存储用户与设备的绑定关系。分布式环境下,Redis的Pub/Sub功能可以用来通知其他节点强制下线的事件,确保各端同步。 可能遇到的问题包括令牌冲突、设备数量限制的逻辑、心跳机制的设计,以及如何高效查询活跃会话。此外,用户体验方面,需要提供界面让用户管理已登录设备,查看登录历史,并支持手动踢出设备。 最后,生成相关问题时要覆盖安全性、技术实现细节、用户体验优化等方面,帮助用户深入理解不同层面的考虑。</think>### 如何实现多端登录功能 #### 一、核心需求分析 多端登录功能需要满足以下核心需求: 1. **多设备并行登录**:允许同一账号在多个终端(如手机、PC、平板)同时在线。 2. **会话独立性**:各终端的操作互不影响,例如手机端修改密码后PC端需重新验证[^2]。 3. **安全控制**:支持设备管理、异常登录检测、强制下线等安全措施。 4. **状态同步**:实时更新设备在线状态,如新设备登录时通知其他端。 --- #### 二、技术方案设计 ##### 1. **令牌管理机制** - **独立令牌生成**:每个设备生成唯一访问令牌(Token),例如: ```python def generate_token(user_id, device_id): return hashlib.sha256(f"{user_id}-{device_id}-{timestamp}".encode()).hexdigest() ``` - **存储结构**:使用Redis存储活跃令牌,数据结构示例: ```json { "user:123:tokens": [ {"device_id": "PC-001", "token": "a1b2c3", "expire_time": 1717020000}, {"device_id": "Mobile-002", "token": "d4e5f6", "expire_time": 1717023600} ] } ``` ##### 2. **设备识别与管理** - **设备指纹**:通过`User-Agent`、IP地址、设备硬件信息生成唯一设备ID。 - **设备绑定表**:数据库设计示例: ```sql CREATE TABLE user_devices ( user_id INT, device_id VARCHAR(64) PRIMARY KEY, device_type VARCHAR(20), last_login TIMESTAMP ); ``` ##### 3. **会话同步实现** - **强制下线通知**:通过WebSocket或消息队列(如RabbitMQ)广播下线事件。 - **心跳机制**:客户端每5分钟发送心跳请求新令牌有效期: ```python # 客户端伪代码 def send_heartbeat(): while True: post("/api/heartbeat", {"token": current_token}) sleep(300) ``` ##### 4. **安全增强措施** - **登录风控规则**: - 同一账号最多允许5个设备同时在线 - 新设备登录需短信验证(参考引用[1]的验证码方案) - 异地登录触发二次认证 --- #### 三、关键代码实现 ##### 后端核心逻辑 ```python # 登录接口示例 def login(user, device_info): if get_online_device_count(user.id) >= 5: raise Exception("达到设备数上限") token = generate_token(user.id, device_info['id']) redis.hset(f"user:{user.id}:tokens", device_info['id'], token) db.insert_device(user.id, device_info) # 记录设备信息 if is_new_device(device_info): # 新设备检测 send_sms_verification(user.phone) # 引用[1]的验证码实现 return {"token": token} # 强制下线实现 def force_logout(user_id, target_device_id): redis.hdel(f"user:{user_id}:tokens", target_device_id) publish_message("logout", {"user_id": user_id, "device_id": target_device_id}) # 消息队列通知 ``` ##### 前端关键处理 ```javascript // WebSocket监听强制下线 const ws = new WebSocket('wss://api.example.com/ws'); ws.onmessage = (event) => { if (event.data.type === 'FORCE_LOGOUT') { localStorage.removeItem('token'); alert('该账号已在其他设备登录'); redirectToLogin(); } }; ``` --- #### 四、典型应用场景 1. **跨设备同步**:用户在手机端浏览商品后,PC端购物车自动同步。 2. **安全管控**:用户可在"账号安全"页面查看所有登录设备,手动踢出可疑设备。 3. **服务连续性**:平板端播放视频时,手机端可暂停而不影响平板端会话。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值