建議用戶模塊應(yīng)用插件發(fā)短信驗證碼前先彈出一個圖片驗證碼

regist_2013 2024-01-10

如圖所示

建議用戶模塊應(yīng)用插件發(fā)短信驗證碼前先彈出一個圖片驗證碼，用戶驗證通過后才真正發(fā)送短信出去，避免被人惡意發(fā)送垃圾信息造成資損

 1191  2 0

2個回答

MarkGo 2024-01-10

兩者沒有必然關(guān)系吧。

"避免被人惡意發(fā)送垃圾信息造成資損"
這個應(yīng)該后端限流吧，而不是靠前端；
打比方，后端沒有限制的時候，單純彈出驗證碼輸入后就發(fā)送，如果只是4位數(shù)的驗證碼，我徒手一分鐘就能輸入十幾個發(fā)送了。
再退一步，用py寫個ocr識別驗證碼，后端沒限制情況下，基本就能轟炸了。
所以重點是后端的限制策略。

發(fā)驗證碼前輸入圖形驗證碼，我覺得這個真的是一個非常讓人反感的操作；
1、單純簡單的圖形驗證碼，各語言的ocr庫都能識別，并且成功率也非常高，你對抗的反而是真正的客戶。
2、復(fù)雜點的驗證規(guī)則也可以，比如說各種奇葩的驗證方式，拖動拼圖選擇物品之類的，但這類接口用第三方是需要付費吧？自己寫的話真人判定規(guī)則是不是一直更新，人工成本呢？

但是如果后端，針對收碼手機號加規(guī)則，1分鐘內(nèi)只能發(fā)一次，登錄場景同號碼一天不超過5次。這樣用戶即不會反感，也比前端驗證安全多了.....

regist_2013 2024-01-10

驗證碼本身就是后端驗證通過后才繼續(xù)發(fā)送短信通知的，不是前端攔住。單純限制手機號，有的惡意用戶批量給你制造不同的手機號就發(fā)出去了，根本不會重復(fù)。即使在限制ip的情況下，現(xiàn)在有的寬帶服務(wù)提供商路由器重連就會自動分配，成本也不高。相比較來說，驗證碼才是最可靠的保證手段