如何設計一個安全的短信接口

這篇文章主要介紹“如何設計一個安全的短信接口”，在日常操作中，相信很多人在如何設計一個安全的短信接口問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”如何設計一個安全的短信接口”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

為什么會有人要刷短信接口？

1、被接入轟炸機
短信轟炸機一直就存在，他們會收羅一些沒做防護的網站，將其作為轟炸機的傀儡。

2、惡意攻擊競爭對手
如短信接口被請求一次，會觸發幾分錢的運營商費用，當量級大了也很可觀。

3、當程序員無聊的時候
程序員：我好無聊啊，攻擊一下XXX網站吧。就好比上學的時候看見完整的筆帽，老有一種想把它掰斷的沖動，你有沒有中招，哈哈。

言歸正傳

你打敗了99%的人

-您本次驗證速度打敗了99%的人

最簡單的方式就是增加驗證碼啦，每次用戶主動獲取短信前，都需要先完成圖片驗證碼/滑動驗證碼的校驗。

實現簡單，也可以防止一部分攻擊者，但是不管是圖片還是滑動驗證，都是可以被破解的，一但被破解，那你的短信接口相當于對攻擊者毫不設防，非常危險。

沒有人可以一直發短信

-您的短信發送已達上限

一般普通的驗證碼類型一般的使用場景都是登錄、修改密碼、注冊等場景，一般來說都不是高頻操作，所以我們可以針對單個用戶和全局做數量限制：

比如一個手機號1小時內只允許調用5次，一天內只允許調用20次。

另外再根據歷史趨勢，對全局設置限制。比如前30天每天驗證碼短信量總量都在30萬上下浮動，那我們可以設置每天的短信調用上限為40萬，超出則進行限制、告警。

上面這種上限的方式一定程度上可以在被攻擊的情況下及時 止損，但是也有小概率誤殺或者局部影響整體的情況出現，所以需要看實際 影響使用。

比如前幾天趨勢都是正常的，但是某天進行促銷或活動，又或者是任何突發的流量進來，這時候這種全局上限的方式會影響正常用戶的使用。

再比如說，用戶當天可能由于各種原因，一段時間內某個操作頻繁的獲取驗證碼，導致短信驗證達到上限，會影響到他所有短信接口都無法使用。

風控？風控！

-檢測到您本次操作存在風險，操作被拒絕

當我們的業務越來越大，并且面向的用戶越來越復雜的時候，上面我們提到的這些簡單的規則很難應付業務或用戶的復雜多變。

這時候就需要通過數據分析的方式，來動態的、實時的調整我們的規則和處理方式，以及提供風險分析、預測等功能。這時候我們可能需要有一個獨立的風控服務。

做過支付業務的小伙伴可能會接觸的比較多，支付風控遠比短信業務風控要繁雜的多，防控規則策略可達上千條，甚至上萬條。

那我們看到上面有看到，針對不同的模板的場景來確定風險等級，然后來做不同的操作，這塊其實就涉及到風控相關了。只是比較初級，比如風險等級如何確定？每個風險等級需要做什么樣的事情？如何進行動態的配置等等。

舉個栗子：

我們可以收集用戶的行為軌跡（注冊時間、登錄次數、頁面訪問情況等）來分析一個用戶，確定用戶的風險等級，再決定他可以發送哪些短信。

根據模板的歷史趨勢，來自動判斷相應短信模板的合理范圍，如果達到上限，則認為存在風險操作，可以做對應的處理。

配置相應的規則，如果某個設備在單位時間內重復N次發送短信操作，并都無反饋結果，則認為存在風險。

等等

風控不僅僅適用于短信接口的風險識別，還包括注冊、登錄、支付操作等等。這個也不是一蹴而就的，需要長時間的積累和建設。

比如上面說到的用戶行為軌跡和模板趨勢，都需要有全面的埋點和數據平臺作為支撐。還有如果業務要求比較高，還需要開發適合自己業務的規則引擎。但是當風控系統建設起來之后，效果也是明顯的！

當然，風控服務并非無可參考，國內有家公司一直致力于支付風控服務研究，對于風控業務頗為熟悉。再經過長時間試驗，推出了短信風控服務——短信風控防火墻。

到此，關于“如何設計一個安全的短信接口”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！