历史文章列表:1、《壹句》正式上线
2、 Apple App Store发布流程以及所遇到的一些坑
前言:
2016.10.17-2017.01.12,在辞掉工作,然后再去台湾骑行一周后的3个月内,个人开发产品《壹句》在Apple Store正式上线,本专题记录《壹句》开发的历程,中间所遇到的问题以及解决方法、心得等等,对过去三个月的时间进行一个总结。
简单介绍下我自己,理工男,硕士,坐标上海,做了两年半的金融,觉得每天重复的工作,没有成就感,又想自己做点啥,怕以后会有遗憾,遂离职,开始了《壹句》的开发,之前没有开发经验,有自学过Swift。
正文:
短信验证是app注册必须的功能,各大平台如阿里云、腾讯都有提供对应的服务,平均来说,4-5分钱每条。当然,也有完全免费的短信验证平台,如Mob,因本人为使用过,所以效果未知。
《壹句》中使用的是阿里云的短信验证。
短信验证是实打实按条数来付钱的,对于这个接口的安全性就显得非常重要了,曾有出现过完全没做安全措施的短信验证接口,一天被盗刷50万条,这可是得几万元钱。
本文主要论述的短信验证的安全的布置。
短信验证的安全可以从以下几个方面着手:接口验证,每日IP号、电话号码、设备号限制,总次数限制三个方面。
1、接口验证
首先是在接口加验证,只有通过验证的接口才能继续访问。接口的验证可简单可复杂,简单的话,加AES、MD5的加密,复杂的话,加密后,再添加了sign,签名的设计规则每个人都不同,个人建议最好加上时间的因素。
2、每日IP号、电话号码、设备号限制
指的是同一IP、电话号码、设备号每天的访问次数限制,如每天10次,一小时最多5次,之类的设置。
每天生成一个文件专门记录当天的IP、电话号码、设备号访问,当有新访问的时候,查看当前文件中的这个IP、电话号码、设备号是否达到了限制,如达到了,则不允许访问。如下图所示,当次数小于max_Ip,写入文件,否则,直接返回。
3、总次数限制
这个是最后一道防线,用来减少总损失的,如前面两道防线都失败,毕竟接口加密、IP、电话号码、设备号都可以破解的,毕竟没有完全有效的措施,那个,对于总损失的减少就显得尤为重要了。
总次数只生成一个文件,一次访问添加1,限制一个总数,当达到总访问次数时,此接口就自动失效。那么,总次数大小的设置就显得很重要了,初期,总次数可设置的比较小,如5000,后面再根据预期调整,如10万。
在这三道防线下,如非专门花功夫,去研究你的sms接口,否则是很不容易被盗刷的。
唠叨一句,天下没有绝对安全的接口,只能去不断的加强您接口的安全,加大盗刷你接口的成本,利弊权衡下,当得不偿失时,盗刷你接口的人就屈指可数了。
最后,打个我的《壹句》App的广告:
壹句的Itunes地址为:https://itunes.apple.com/us/app/yi-ju/id1189535187?l=zh&ls=1&mt=8,有兴趣的同学可以下载使用,多提意见。
壹句网站的地址为:www.91yiju.com。