如何設(shè)計(jì)一個(gè)安全的短信接口

這篇文章主要介紹“如何設(shè)計(jì)一個(gè)安全的短信接口”，在日常操作中，相信很多人在如何設(shè)計(jì)一個(gè)安全的短信接口問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對(duì)大家解答”如何設(shè)計(jì)一個(gè)安全的短信接口”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

創(chuàng)新互聯(lián)是專業(yè)的?？诰W(wǎng)站建設(shè)公司，?？诮訂?提供成都網(wǎng)站建設(shè)、成都網(wǎng)站制作,網(wǎng)頁設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行?？诰W(wǎng)站開發(fā)網(wǎng)頁制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來合作!

為什么會(huì)有人要刷短信接口？

1、被接入轟炸機(jī)
短信轟炸機(jī)一直就存在，他們會(huì)收羅一些沒做防護(hù)的網(wǎng)站，將其作為轟炸機(jī)的傀儡。

2、惡意攻擊競爭對(duì)手
如短信接口被請(qǐng)求一次，會(huì)觸發(fā)幾分錢的運(yùn)營商費(fèi)用，當(dāng)量級(jí)大了也很可觀。

3、當(dāng)程序員無聊的時(shí)候
程序員：我好無聊啊，攻擊一下XXX網(wǎng)站吧。就好比上學(xué)的時(shí)候看見完整的筆帽，老有一種想把它掰斷的沖動(dòng)，你有沒有中招，哈哈。

言歸正傳

你打敗了99%的人

-您本次驗(yàn)證速度打敗了99%的人

最簡單的方式就是增加驗(yàn)證碼啦，每次用戶主動(dòng)獲取短信前，都需要先完成圖片驗(yàn)證碼/滑動(dòng)驗(yàn)證碼的校驗(yàn)。

實(shí)現(xiàn)簡單，也可以防止一部分攻擊者，但是不管是圖片還是滑動(dòng)驗(yàn)證，都是可以被破解的，一但被破解，那你的短信接口相當(dāng)于對(duì)攻擊者毫不設(shè)防，非常危險(xiǎn)。

沒有人可以一直發(fā)短信

-您的短信發(fā)送已達(dá)上限

一般普通的驗(yàn)證碼類型一般的使用場景都是登錄、修改密碼、注冊等場景，一般來說都不是高頻操作，所以我們可以針對(duì)單個(gè)用戶和全局做數(shù)量限制：

比如一個(gè)手機(jī)號(hào)1小時(shí)內(nèi)只允許調(diào)用5次，一天內(nèi)只允許調(diào)用20次。

另外再根據(jù)歷史趨勢，對(duì)全局設(shè)置限制。比如前30天每天驗(yàn)證碼短信量總量都在30萬上下浮動(dòng)，那我們可以設(shè)置每天的短信調(diào)用上限為40萬，超出則進(jìn)行限制、告警。

上面這種上限的方式一定程度上可以在被攻擊的情況下及時(shí) 止損，但是也有小概率誤殺或者局部影響整體的情況出現(xiàn)，所以需要看實(shí)際 影響使用。

比如前幾天趨勢都是正常的，但是某天進(jìn)行促銷或活動(dòng)，又或者是任何突發(fā)的流量進(jìn)來，這時(shí)候這種全局上限的方式會(huì)影響正常用戶的使用。

再比如說，用戶當(dāng)天可能由于各種原因，一段時(shí)間內(nèi)某個(gè)操作頻繁的獲取驗(yàn)證碼，導(dǎo)致短信驗(yàn)證達(dá)到上限，會(huì)影響到他所有短信接口都無法使用。

風(fēng)控？風(fēng)控！

-檢測到您本次操作存在風(fēng)險(xiǎn)，操作被拒絕

當(dāng)我們的業(yè)務(wù)越來越大，并且面向的用戶越來越復(fù)雜的時(shí)候，上面我們提到的這些簡單的規(guī)則很難應(yīng)付業(yè)務(wù)或用戶的復(fù)雜多變。

這時(shí)候就需要通過數(shù)據(jù)分析的方式，來動(dòng)態(tài)的、實(shí)時(shí)的調(diào)整我們的規(guī)則和處理方式，以及提供風(fēng)險(xiǎn)分析、預(yù)測等功能。這時(shí)候我們可能需要有一個(gè)獨(dú)立的風(fēng)控服務(wù)。

做過支付業(yè)務(wù)的小伙伴可能會(huì)接觸的比較多，支付風(fēng)控遠(yuǎn)比短信業(yè)務(wù)風(fēng)控要繁雜的多，防控規(guī)則策略可達(dá)上千條，甚至上萬條。

那我們看到上面有看到，針對(duì)不同的模板的場景來確定風(fēng)險(xiǎn)等級(jí)，然后來做不同的操作，這塊其實(shí)就涉及到風(fēng)控相關(guān)了。只是比較初級(jí)，比如風(fēng)險(xiǎn)等級(jí)如何確定？每個(gè)風(fēng)險(xiǎn)等級(jí)需要做什么樣的事情？如何進(jìn)行動(dòng)態(tài)的配置等等。

舉個(gè)栗子：

我們可以收集用戶的行為軌跡（注冊時(shí)間、登錄次數(shù)、頁面訪問情況等）來分析一個(gè)用戶，確定用戶的風(fēng)險(xiǎn)等級(jí)，再?zèng)Q定他可以發(fā)送哪些短信。

根據(jù)模板的歷史趨勢，來自動(dòng)判斷相應(yīng)短信模板的合理范圍，如果達(dá)到上限，則認(rèn)為存在風(fēng)險(xiǎn)操作，可以做對(duì)應(yīng)的處理。

配置相應(yīng)的規(guī)則，如果某個(gè)設(shè)備在單位時(shí)間內(nèi)重復(fù)N次發(fā)送短信操作，并都無反饋結(jié)果，則認(rèn)為存在風(fēng)險(xiǎn)。

等等

風(fēng)控不僅僅適用于短信接口的風(fēng)險(xiǎn)識(shí)別，還包括注冊、登錄、支付操作等等。這個(gè)也不是一蹴而就的，需要長時(shí)間的積累和建設(shè)。

比如上面說到的用戶行為軌跡和模板趨勢，都需要有全面的埋點(diǎn)和數(shù)據(jù)平臺(tái)作為支撐。還有如果業(yè)務(wù)要求比較高，還需要開發(fā)適合自己業(yè)務(wù)的規(guī)則引擎。但是當(dāng)風(fēng)控系統(tǒng)建設(shè)起來之后，效果也是明顯的！

當(dāng)然，風(fēng)控服務(wù)并非無可參考，國內(nèi)有家公司一直致力于支付風(fēng)控服務(wù)研究，對(duì)于風(fēng)控業(yè)務(wù)頗為熟悉。再經(jīng)過長時(shí)間試驗(yàn)，推出了短信風(fēng)控服務(wù)——短信風(fēng)控防火墻。

到此，關(guān)于“如何設(shè)計(jì)一個(gè)安全的短信接口”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！

分享名稱：如何設(shè)計(jì)一個(gè)安全的短信接口
本文URL：http://muchs.cn/article28/pgddjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、、定制網(wǎng)站、服務(wù)器托管、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)