后端开发大湿们，短信发送防止接口被恶意调用的方案有没有好的建议（除了传统的图形验证码以外）

@yujiang 这种是用户体验最差的，分分钟卸载

运营商那边不是限定模板的嘛？

@mandy0119 我们之前是这样搞的。。。关键是，对方觉得接口没关闭，还是一直刷~！哈哈

https://007.qq.com/
图形验证码

@kkeiko 的 2 和 4 我在用
尤其是 4

直接对接第三方的账号体系应该是最简单的

对接腾讯免费接口

腾讯那个防水墙现在要收费了。手机验证码必须搞第三方的个人机验证，我试过很多方法都没用，最后还是靠腾讯的服务才搞定。

手机号频率限制,ip 限制 用 redis 做

本机号码一键免密登录，比短验加图形验证码方便快速的多。创蓝闪验、极光认证都提供该服务，用户量大的话可以直接找三大运营商接入。

@gluttony 这个要让用户开流量访问吧，体验太差了。

接入第三方防刷验证服务
其他的办法不用尝试了，无解

没有，图形验证码已经弱爆了，忘了哪个网站新的验证码要求给一个图形旋转到“正常角度”，你在玩我么

有个极验的平台，可以做二维码的

腾讯防水墙

对于攻击者来说，几乎所有的验证方法都会在高频调用这一招下失效。成功率低又如何，我可以提高频率到每秒攻击十万百万次，还是能够 1 秒钟轻松艹你千百次。

所以真正能有效降低攻击频率的，是限流或者是低频的验证，如谷歌 Authenticator 这种动态密码。强制让所有人都只能 1 分钟只能访问一次，那就随便你攻击了。

一般大厂都做了好几层防护，首先会调用验证码，但如果有好事的用户手动反复多次通过接口发送了消息后，会分支出两种常见策略：1，直接临时停止对此 IP 的授权，关闭接口。2，改为让用户反向发送指定信息的消息到某个号码上。后者更人性化，因为无法避免一些正常用户因小概率的事件导致一直无法收到验证码，但部署成本可能比前者会高一些，前者直接后台累加到阈值阻断发送即可。

当然还有最常见的倒计时冷却，这个几乎在验证码里都是标配的，没必要特别说明

加黑名单，弄个计数器频率高的就封他 24 小时之类的，错多少次就封他几个小时之类的