防止短信接口验证码恶意攻击

一、易遭恶意使用的场景或网站

（1）网络在线投票站（需要填写手机号码进行校验）

（2）用户在线注册页面（包含手机短信验证功能）

（3）手机短信动态密码登录

二，用户恶意点击手机短信验证码主要有两种途径：

一种是人工频繁点击；

一种是通过软件连续点击，就危害性来说，软件连续点击的危害要大的多。

（1）短信发送间隔设置——设置同一号码重复发送的时间间隔，一般设置为60-120秒 发送成功后可将验证码存 redis,mongodb等缓存或mysql数据库等地方。

（2）IP限定——根据自己的业务特点，设置每个IP每天的最大发送量

（3）手机号码限定——根据业务特点，设置每个手机号码每天的最大发送量

（4）流程限定——将手机短信验证和用户名密码设置分成两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验。

（5） 绑定图型校验码——将图形校验码和手机验证码进行绑定，这样能比较有效的防止软件恶意注册。