后端开发大湿们，短信发送防止接口被恶意调用的方案有没有好的建议（除了传统的图形验证码以外）

传统的图形验证码就不说了，还有没有其他的思路。

尤其是用户注册那一块，毕竟还没有任何登录用户的信息。

也不能太复杂，同时也需要兼顾开发成本和使用成本；不能为了安全，牺牲好用性。

inktiger

2020-06-06 09:38:58 +08:00

作为一名爬虫工程师，我觉得对这个要看防御到什么程度，取个适中方案，要想完全防御，那不可能，你只有增加别人恶意的成本，他成本高了，你也就安全了。
后端的话，可以用 ip 来控制每分钟获取验证码，但如果是别人换 IP 的话就不好搞，毕竟对于真想搞你的人来说，搞不同 IP 很简单，所以最好在获取短信验证码前加一层保护，如验证码，滑块、加减法、或者输入一串数字里你指定颜色的数字为验证码最终数等来防御，其实我觉得就滑块对用户而言就挺简单，而且对于恶意刷的成本也够高，要恶意刷，可能得用真实浏览器模拟用户操作，外加上还要算上生成不同 IP 来搞你，正常点的人不会抽风来专门刷的

yukiloh

2020-06-06 15:07:52 +08:00

需要 sign 的就可以抵挡一票人…就算人家会破也懒得弄，浪费时间…

zzw1998

2020-06-07 03:15:31 +08:00

@lihongming 话说 recaptcha v3 现在在国内可以正常用了吗

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/678930

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.