情诗网 >情话短信 > 正文

《壹句》短信验证--论短信验证的安全性

来源:情诗网    2021-01-19    分类:情话短信

历史文章列表:1、《壹句》正式上线

2、  Apple App Store发布流程以及所遇到的一些坑

3、《壹句》所使用的Swift第三方库

4、《壹句》的版本控制

前言:

2016.10.17-2017.01.12,在辞掉工作,然后再去台湾骑行一周后的3个月内,个人开发产品《壹句》在Apple Store正式上线,本专题记录《壹句》开发的历程,中间所遇到的问题以及解决方法、心得等等,对过去三个月的时间进行一个总结。

简单介绍下我自己,理工男,硕士,坐标上海,做了两年半的金融,觉得每天重复的工作,没有成就感,又想自己做点啥,怕以后会有遗憾,遂离职,开始了《壹句》的开发,之前没有开发经验,有自学过Swift。

正文:

短信验证是app注册必须的功能,各大平台如阿里云、腾讯都有提供对应的服务,平均来说,4-5分钱每条。当然,也有完全免费的短信验证平台,如Mob,因本人为使用过,所以效果未知。

《壹句》中使用的是阿里云的短信验证。

短信验证是实打实按条数来付钱的,对于这个接口的安全性就显得非常重要了,曾有出现过完全没做安全措施的短信验证接口,一天被盗刷50万条,这可是得几万元钱。

本文主要论述的短信验证的安全的布置。

短信验证的安全可以从以下几个方面着手:接口验证,每日IP号、电话号码、设备号限制,总次数限制三个方面。

1、接口验证

首先是在接口加验证,只有通过验证的接口才能继续访问。接口的验证可简单可复杂,简单的话,加AES、MD5的加密,复杂的话,加密后,再添加了sign,签名的设计规则每个人都不同,个人建议最好加上时间的因素。

2、每日IP号、电话号码、设备号限制

指的是同一IP、电话号码、设备号每天的访问次数限制,如每天10次,一小时最多5次,之类的设置。

每天生成一个文件专门记录当天的IP、电话号码、设备号访问,当有新访问的时候,查看当前文件中的这个IP、电话号码、设备号是否达到了限制,如达到了,则不允许访问。如下图所示,当次数小于max_Ip,写入文件,否则,直接返回。

3、总次数限制

这个是最后一道防线,用来减少总损失的,如前面两道防线都失败,毕竟接口加密、IP、电话号码、设备号都可以破解的,毕竟没有完全有效的措施,那个,对于总损失的减少就显得尤为重要了。

总次数只生成一个文件,一次访问添加1,限制一个总数,当达到总访问次数时,此接口就自动失效。那么,总次数大小的设置就显得很重要了,初期,总次数可设置的比较小,如5000,后面再根据预期调整,如10万。

在这三道防线下,如非专门花功夫,去研究你的sms接口,否则是很不容易被盗刷的。

唠叨一句,天下没有绝对安全的接口,只能去不断的加强您接口的安全,加大盗刷你接口的成本,利弊权衡下,当得不偿失时,盗刷你接口的人就屈指可数了。

最后,打个我的《壹句》App的广告:

壹句的Itunes地址为:https://itunes.apple.com/us/app/yi-ju/id1189535187?l=zh&ls=1&mt=8,有兴趣的同学可以下载使用,多提意见。

壹句网站的地址为:www.91yiju.com

热门文章