建议用户模块应用插件发短信验证码前先弹出一个图片验证码

regist_2013 2024-01-10

如图所示

建议用户模块应用插件发短信验证码前先弹出一个图片验证码，用户验证通过后才真正发送短信出去，避免被人恶意发送垃圾信息造成资损

 286  2 0

2个回答

MarkGo 2024-01-10

两者没有必然关系吧。

"避免被人恶意发送垃圾信息造成资损"
这个应该后端限流吧，而不是靠前端；
打比方，后端没有限制的时候，单纯弹出验证码输入后就发送，如果只是4位数的验证码，我徒手一分钟就能输入十几个发送了。
再退一步，用py写个ocr识别验证码，后端没限制情况下，基本就能轰炸了。
所以重点是后端的限制策略。

发验证码前输入图形验证码，我觉得这个真的是一个非常让人反感的操作；
1、单纯简单的图形验证码，各语言的ocr库都能识别，并且成功率也非常高，你对抗的反而是真正的客户。
2、复杂点的验证规则也可以，比如说各种奇葩的验证方式，拖动拼图选择物品之类的，但这类接口用第三方是需要付费吧？自己写的话真人判定规则是不是一直更新，人工成本呢？

但是如果后端，针对收码手机号加规则，1分钟内只能发一次，登录场景同号码一天不超过5次。这样用户即不会反感，也比前端验证安全多了.....

regist_2013 2024-01-10

验证码本身就是后端验证通过后才继续发送短信通知的，不是前端拦住。单纯限制手机号，有的恶意用户批量给你制造不同的手机号就发出去了，根本不会重复。即使在限制ip的情况下，现在有的宽带服务提供商路由器重连就会自动分配，成本也不高。相比较来说，验证码才是最可靠的保证手段