如何设计有效的短信接口防刷机制?
- 内容介绍
- 文章标签
- 相关推荐
本文共计2649个文字,预计阅读时间需要11分钟。
一、序言在Web开发中,有些接口需要在用户认证前访问,其中短信发送接口特别值得注意。短信验证码注册接口是这类接口的典型代表,它具有以下特点:
1. 流量在用户认证前
2.流量在短信验证码接口中
这类接口的特点如下:
1. 用户在未进行用户认证之前,即可访问此接口
2.用户通过短信验证码注册,无需复杂的认证过程
3.提高用户注册效率,降低用户门槛
一、序言在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点:
- 流量在用户认证之前
流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流
- 手机号未知
手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信盗刷。
本文将重点聚焦接口的防盗刷实践。
二、盗刷流量在解决防盗刷之前先认识盗刷流量的特点和防盗刷的目标。
(一)防盗刷的目标 1、减少盗刷的总量如果能将盗刷的频率控制在60秒之外,那么单日盗刷的最大数量为24*60=1440。假如系统入侵者发现请求频率间隔在60秒以上,那么可自动劝退入侵者,原因是投入与产出不匹配。
实际上盗刷流量以秒级甚至毫秒级刷新,对系统造成明显的损害。
周期性盗刷隐匿性更高,对系统有持续破坏能力,积少成多,不易察觉,相比于单次爆破性盗刷,周期性盗刷的危害可能会更大。
本文共计2649个文字,预计阅读时间需要11分钟。
一、序言在Web开发中,有些接口需要在用户认证前访问,其中短信发送接口特别值得注意。短信验证码注册接口是这类接口的典型代表,它具有以下特点:
1. 流量在用户认证前
2.流量在短信验证码接口中
这类接口的特点如下:
1. 用户在未进行用户认证之前,即可访问此接口
2.用户通过短信验证码注册,无需复杂的认证过程
3.提高用户注册效率,降低用户门槛
一、序言在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点:
- 流量在用户认证之前
流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流
- 手机号未知
手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信盗刷。
本文将重点聚焦接口的防盗刷实践。
二、盗刷流量在解决防盗刷之前先认识盗刷流量的特点和防盗刷的目标。
(一)防盗刷的目标 1、减少盗刷的总量如果能将盗刷的频率控制在60秒之外,那么单日盗刷的最大数量为24*60=1440。假如系统入侵者发现请求频率间隔在60秒以上,那么可自动劝退入侵者,原因是投入与产出不匹配。
实际上盗刷流量以秒级甚至毫秒级刷新,对系统造成明显的损害。
周期性盗刷隐匿性更高,对系统有持续破坏能力,积少成多,不易察觉,相比于单次爆破性盗刷,周期性盗刷的危害可能会更大。