防止短信验证码接口被恶意攻击的有效措施

目前来说，不管是各大网上银行，还是各企业官网、大型购物网站及各种APP应用等，都需要对接 短信验证码 接口以实现用户真实身份的验证，确保平台的正常运行。而在短信验证码接口的应用过程中，可能就会出现被恶意攻击的情况。都有什么有效措施能防止这种情况的发生呢？

1、获取时间间隔限制

限制同一个手机号码重复获取短信验证码的时间间隔。一般设置为60秒到120秒，获取页面做倒计时显示，倒计时未完不能再次点击“获取验证码”按钮，后台也做时间间隔限制，时间未到不能发送短信。

2、发送流程限制

以注册流程为例，将填写资料、设置用户名密码和发送短信验证码分成两个步骤来完成。首先，用户需要完整填写具体资料，设置用户名、密码合格，才能进入下一步，填写正确的手机号码，获取短信验证码。

3、IP地址限制

为防止有人在同一IP地址使用不同手机号码对短信验证码接口进行恶意攻击，可以限制同一个IP地址在每天的发送次数，超过次数则停止发送短信，并且可以设置将这个IP地址加入黑名单一段时间。

4、手机号码限制

限制同一个手机号码单日很大的发送次数，超过次数即当日不能再获取短信验证码。

5、对申请用户进行不重复性识别

防止不法分子修改参数伪造IP地址和手机号码后对短信验证码接口进行攻击，用Token作为对申请用户的不重复性识别标识。

6、设置有效时间

为防止不法分子暴力破解，一般都会对短信验证码设置一个有效时间，超过有效时间即失效，需要重新获取。这种情况，即使有人破解了，也超过了有效时间，不能再使用。

7、增加图片验证

这种方式在网站、APP中应用比较普遍。在获取短信验证码之前，需要先进行图片验证，图片验证通过之后，才能进行验证码短信的获取，增加攻击难度。