如何防止短信接口被恶意调用

有人是这样做的:

用户点击获取验证码时,前端跟后端都做了限制。比如说同个手机号两分钟内只能获取一次。

这样的做法跟没限制一样,形同虚设。比如说攻击者随机生成几万个手机号,然后同一时间往这些手机号上发送信息

有些人又加了图形验证码。这也是目前最常用的防护方式了,但也有可能被暴力破解,但难度有点大。

 

最近有个项目,说了为了用户体验,发送验证前不要图形验证,所以想到的方法就是ip限制了。

这边的做法是这样的:

同一个手机号,同一个IP,一分钟或两分钟内发送的次数大于某个数时,视为异常ip。

这里为什么要同一个手机号和同一个ip,而不是单单使用ip呢?

这里要根据实际情况而定,比如说某个公司的员工上万,如果一分钟内刚好有那么人登录获取验证码,那么就会把这个ip给封了,所以加了个手机号判断。

下面是一部分代码,主要使用缓存记录相关信息

        $ip = get_client_ip();
        if(cache('hd_blacklist_ip')){//判断该手机号是否在黑名单
            $blacklist_ip = cache('hd_blacklist_ip');
            if(in_array($ip, $blacklist_ip)) return json(['code'=>0]);
        }

        $blacklist_ip = [];//黑名单
        $num = 0;
        if(cache('hd_'.$mobile)){//查找缓存
            $cache_data = cache('hd_'.$mobile);

            $current_time = time();//当前时间

            //判断该发送是否是正常方式
            foreach ($cache_data as $k => $v) {
                if($v['mobile'] == $mobile && $ip == $v['ip'] && $v['create_time'] > ($current_time-60) && $v['create_time'] < $current_time){
                    $num++;
                }
            }

            if($num > 10) {//异常
                if(cache('hd_blacklist_ip')) $blacklist_ip = cache('hd_blacklist_ip');
                array_push($blacklist_ip, $ip);//把ip加入缓存黑名单
                cache('hd_blacklist_ip',$blacklist_ip,24*3600);
            }
        } 
        $cache_data[] = ['mobile'=>$mobile,'ip'=>$ip,'create_time'=>time()];
        cache('hd_'.$mobile,$cache_data,24*3600);//缓存当前登录的手机及ip

 

你可能感兴趣的:(php,thinkphp)