昨天看到一個(gè)地址，新用戶(hù)免費(fèi)收到阿里閱讀的30天閱讀APP會(huì)員。2021年了，該開(kāi)始讀書(shū)了�？吹竭@個(gè)活動(dòng)在筆記本里，我用筆記本瀏覽器進(jìn)入活動(dòng)頁(yè)面，輸入手機(jī)號(hào)，收到驗(yàn)證碼，填寫(xiě)驗(yàn)證碼，收這個(gè)會(huì)員。原本以為一切就這樣順利結(jié)束了，然而并不是填寫(xiě)驗(yàn)證就會(huì)提示“網(wǎng)絡(luò)錯(cuò)誤”。這不科學(xué)。作為一個(gè)程序員，我下意識(shí)的按了F12，打開(kāi)了開(kāi)發(fā)者工具，于是看到了下面這個(gè)錯(cuò)誤。簡(jiǎn)單來(lái)說(shuō)，就是跨域的問(wèn)題。我想了一下，估計(jì)這個(gè)活動(dòng)是針對(duì)移動(dòng)終端的。我用PC終端訪問(wèn)，導(dǎo)致跨域。這個(gè)地方設(shè)計(jì)的不好。

然后用手機(jī)訪問(wèn)活動(dòng)頁(yè)面地址，正常打開(kāi)，然后填寫(xiě)手機(jī)號(hào)碼，然后提示獲取過(guò)于頻繁

剛從PC發(fā)了幾次驗(yàn)證碼。這個(gè)地方設(shè)計(jì)的時(shí)候考慮到了安全，這很好。

我只能等。從發(fā)展來(lái)看，我的手機(jī)號(hào)在固定時(shí)間段內(nèi)只能發(fā)送固定次數(shù)的驗(yàn)證碼。如果數(shù)量超過(guò)這個(gè)數(shù)量，就不會(huì)再發(fā)給我了。一個(gè)是安全考慮(頻繁的接口調(diào)用)，另一個(gè)可能是成本考慮(防止短信驗(yàn)證碼被刷)。

過(guò)了一段時(shí)間，我去手機(jī)那里試著收藏，發(fā)現(xiàn)一切順利，收藏成功。

如果你看到你這里的合作伙伴是新用戶(hù)，有興趣閱讀，可以讓這個(gè)會(huì)員體驗(yàn)一下(不是廣告)。地址：m.complaintb.cn

這里應(yīng)該就到此為止了，但是作為開(kāi)發(fā)者，我覺(jué)得還是簡(jiǎn)單的梳理一下這個(gè)發(fā)短信的功能吧，因?yàn)檫@個(gè)功能雖然看起來(lái)簡(jiǎn)單，但是深入調(diào)查之后有很多地方需要注意和考慮。

短信驗(yàn)證碼設(shè)計(jì)總結(jié)

在互聯(lián)網(wǎng)時(shí)代，發(fā)送短信驗(yàn)證碼已經(jīng)成為很多產(chǎn)品必不可少的功能。還有很多場(chǎng)景，注冊(cè)登錄、銀行轉(zhuǎn)賬、營(yíng)銷(xiāo)活動(dòng)等。(場(chǎng)景真的很多，我就不多舉了)。

發(fā)驗(yàn)證的時(shí)候，其實(shí)很多公司用的是第三方短信服務(wù)，需要收費(fèi)，天下沒(méi)有免費(fèi)的午餐。然后出現(xiàn)黑色工具——短信轟炸機(jī)。

短信轟炸機(jī)是一款用寫(xiě)好的程序批量刷短信的軟件�？梢耘�量自動(dòng)提交手機(jī)號(hào)，模擬IP來(lái)刷短信。

如果需要使用短信驗(yàn)證碼產(chǎn)品，一定要制定限制規(guī)則，設(shè)計(jì)好。

主要原則：發(fā)送驗(yàn)證碼需要由前端和后端共同設(shè)計(jì)，這樣可以更完善，也可以更完善。

主要觀點(diǎn)：

1.期限

xx秒后再次發(fā)送，正常運(yùn)行

一般點(diǎn)擊驗(yàn)證后會(huì)在前端(客戶(hù)端)進(jìn)行xx秒的倒計(jì)時(shí)(這個(gè)倒計(jì)時(shí)可以根據(jù)具體產(chǎn)品的具體業(yè)務(wù)來(lái)確定，大部分是60秒)。在這個(gè)固定時(shí)間內(nèi)，用戶(hù)不能提交多個(gè)發(fā)送信息的請(qǐng)求。具體時(shí)限要考慮產(chǎn)品自身屬性、運(yùn)營(yíng)難度、網(wǎng)絡(luò)延遲、短信資費(fèi)成本等。

2.圖形驗(yàn)證碼的時(shí)限

(1)需要發(fā)送認(rèn)證碼時(shí)，讓用戶(hù)先輸入認(rèn)證碼，輸入的認(rèn)證碼通過(guò)后再請(qǐng)求獲取短信認(rèn)證碼；否則，“獲取身份驗(yàn)證”按鈕不會(huì)被激活。

(2)請(qǐng)求驗(yàn)證后，前端(客戶(hù)端)通常倒計(jì)時(shí)xx秒(這個(gè)倒計(jì)時(shí)可以根據(jù)具體產(chǎn)品的具體業(yè)務(wù)來(lái)確定)。在這個(gè)固定時(shí)間內(nèi)，用戶(hù)不能提交多個(gè)發(fā)送信息的請(qǐng)求。

在這一點(diǎn)上，圖形驗(yàn)證碼是不必要的�？赡転榱擞懈�好的用戶(hù)體驗(yàn)，一開(kāi)始不需要輸入圖形驗(yàn)證碼，需要經(jīng)過(guò)一定的操作才需要輸入圖形驗(yàn)證碼。請(qǐng)根據(jù)具體情況設(shè)計(jì)。

雖然這種方法被廣泛使用，但不是很有用。技術(shù)稍微好一點(diǎn)的人可以繞過(guò)這個(gè)限制，直接發(fā)短信驗(yàn)證碼。

如果前臺(tái)倒計(jì)時(shí)60s，后臺(tái)驗(yàn)證碼的到期時(shí)間一定不是60，但通常會(huì)是5~10分鐘。

3.手機(jī)號(hào)碼指定時(shí)間可以發(fā)送的短信數(shù)量有限

同一手機(jī)號(hào)碼在規(guī)定時(shí)間內(nèi)不能超過(guò)x。

當(dāng)注冊(cè)或發(fā)送手機(jī)號(hào)碼相同的短信驗(yàn)證碼時(shí)，系統(tǒng)可以限制該手機(jī)號(hào)碼。比如一個(gè)小時(shí)只能發(fā)送三個(gè)短信驗(yàn)證碼，超過(guò)限制就會(huì)報(bào)錯(cuò)(比如系統(tǒng)忙，請(qǐng)稍后再試)。但是這種方法只能避免手動(dòng)刷短信。對(duì)于用不同手機(jī)號(hào)批量刷短信的機(jī)器來(lái)說(shuō)，這種方法很無(wú)奈。

4.Cookie限制

限制相同的IP/Cookie信息的最大數(shù)量

使用Cookie或者IP，可以簡(jiǎn)單的識(shí)別同一個(gè)用戶(hù)，然后限制同一個(gè)用戶(hù)(比如最多只能在xx時(shí)間內(nèi)發(fā)送xx條短信)。但是Cookie是可以清理的，IP是可以模擬的，IP在局域網(wǎng)中也會(huì)有相同的IP。所以在使用這種方法的時(shí)候，要根據(jù)具體情況來(lái)考慮。

這樣在第三點(diǎn)的基礎(chǔ)上，防止了惡意刷手機(jī)驗(yàn)證碼短信。如果同一個(gè)ip多次請(qǐng)求手機(jī)驗(yàn)證碼短信，因?yàn)槎绦判枰�錢(qián)，競(jìng)爭(zhēng)對(duì)手很可能會(huì)惡意刷。我們對(duì)別人好，但內(nèi)心要有防備。

5.短信預(yù)警機(jī)制

監(jiān)控短信服務(wù)，出現(xiàn)問(wèn)題后做好保護(hù)工作

以上方法不一定能完全防止短信被刷。所以也要做好短信的預(yù)警機(jī)制，即當(dāng)短信使用量達(dá)到一定量或者短信發(fā)送界面被過(guò)度調(diào)用時(shí)，向管理員發(fā)送預(yù)警信息，管理員可以立即對(duì)短信界面進(jìn)行監(jiān)控和保護(hù)。整理了一下相關(guān)數(shù)據(jù)，今天對(duì)上面的問(wèn)題有了一點(diǎn)了解，就是移動(dòng)端的驗(yàn)證碼正常驗(yàn)證成功，PC端無(wú)法驗(yàn)證�？赡苁钱a(chǎn)品設(shè)計(jì)限制惡意刷短信，提出了跨域請(qǐng)求限制。也可能只是個(gè)bug。

附筆

一個(gè)看似簡(jiǎn)單的函數(shù)可以是簡(jiǎn)單的，復(fù)雜的，也可以是非常復(fù)雜的。作為技術(shù)人員，您應(yīng)該了解業(yè)務(wù)、使用場(chǎng)景、用戶(hù)數(shù)量等。并綜合考慮。多方面的時(shí)代和兼容性也要考慮。

其實(shí)這個(gè)問(wèn)題如果能仔細(xì)想出來(lái)，以后遇到也能充分考慮，開(kāi)發(fā)者總說(shuō)做增刪查改。這個(gè)的功能設(shè)計(jì)的很好，涉及到添加、刪除、檢查、更改，甚至涉及到一個(gè)開(kāi)發(fā)人員設(shè)計(jì)功能的能力。

做好每一個(gè)小功能，從小地方提升用戶(hù)體驗(yàn)，是產(chǎn)品和開(kāi)發(fā)的共同責(zé)任。

最后談了兩點(diǎn)，看到朋友覺(jué)得：

1.驗(yàn)證碼在后臺(tái)應(yīng)該怎么處理，應(yīng)該存儲(chǔ)在哪里，內(nèi)存，緩存還是數(shù)據(jù)庫(kù)？

2.什么樣的短信驗(yàn)證碼用戶(hù)體驗(yàn)好，內(nèi)容好，驗(yàn)證碼長(zhǎng)度長(zhǎng)？