最佳答案:根据IP和手机号都无法有效的防止刷短信,别人直接拿你的接口接短信轰炸机,IP用的是代理,手机号码完全不一样,所以IP和手机号只能作为基本的防刷限制!短信的攻和防没有完全通用的完美的解决方案,在于攻击你
根据IP和手机号都无法有效的防止刷短信,别人直接拿你的接口接短信轰炸机,IP用的是代理,手机号码完全不一样,所以IP和手机号只能作为基本的防刷限制!
短信的攻和防没有完全通用的完美的解决方案,在于攻击你的人愿不愿意付出更多的成本来攻击你,也就是从你那里获得的回报要能大于他的付出,控制好这个点就ok了,比如发短信前要求发图片验证码,没错,图片验证码是很容易被识别,有OCR和打码平台,但是这些都是要成本的,一个要研发成本一个要金钱成本,他只做短信轰炸机的话,这些成本他是不愿意付出的,所以加图片验证码一般都能很好的拦截这类刷短信的攻击!可以看到目前主流网站都是用验证码来防止,做得好的会用交互式的验证方式,更难绕过,但是这会伤害用户体验,做得好一点的就会偷偷分析用户的行为,比如你的短信登录,一定会按顺序调用哪些接口,才会到发短信登录的接口上来,通过这种接口调用分析,来决定这次发短信是不是需要图片验证码,这样比较不会伤害用户体验,但是也有风险,就是人家愿意花大量时间来摸你的规律就会被利用!总之没有完美的方案,在于怎么平衡攻击者的利益点!
