验证码的接口安全非常重要

     短信验证码现在已经广泛使用，无需赘述，各银行的网络银行、各种手机APP、各种网站都需要使用短信验证码完成相关业务。 在使用中，由于产品设计中的防范意识薄弱，经常发生短信被恶意攻击的事件，造成了不必要的损失。

短信验证码受到攻击一般分为两种情况。 一是不法分子利用发送接口的漏洞，通过不断转换IP地址伪装成大量手机号码获得认证，给企业短信资费造成高额损失。 二是不法分子只攻击某个特定号码，向同一手机号码重复发送验证码，可能会严重影响机器所有者，给企业带来投诉和处罚。

无论其目的如何，短信验证码(www.sms9.net)如果受到攻击，将会产生非常坏的影响。 关于提高验证码的安全性，请考虑以下几点。

手机号码发送频率的限制。 限制每个手机号码每天的限制发送次数。 超过次数就不能发送短信； 但是，必须仔细定义该号码的锁定时间段，以防止用户的真正注册、登录操作受到影响，同时有效防止攻击。

添加行为式验证码。 在用户获得验证码之前，可以通过触点式和拖动式的行为验证来验证用户的真实身份。

设定1个IP地址在一定期间内的极限发送量。 虽然该方法可以有效防止单个IP地址的攻击，但是对转换IP地址的黑客没有效果，通过禁止某个IP可以进行统一限制，在该IP下其他用户也很可能无法正常获取验证码。 例如，某集团公司对某APP进行集体登记。

改变验证码发行的流程。 首先完成用户注册，然后发放验证码绑定手机，这增加了用户的操作步骤，影响用户体验的流畅度；

设置授权码获取间隔。 限制重复发送相同手机号码的时间间隔，通常设定为60-120秒；

采用了一键登录和短信验证码的组合模式。 一键登录是通过运营商的网关取号码的方式，自动识别用户号码并完成认证。 整个过程采用安全系数高的非对称加密算法进行加密处理，具有防篡改、防篡改性，安全性可靠。 要一键登录，用户必须拥有数据蜂窝网络，如果没有网络，则无法完成认证。 因而，企业采用了一键登录和消息认证码组合的方式，在一键登录的认证失败的情况下可以切换为消息认证码，从而可以尽可能地保障用户操作的便利性和顺利性。

其他发送频率限制：对手机号码进行发送限制。 例如，设定条件为1次/分； 2次/小时；5次/天 (相同内容)。