建议用户模块应用插件发短信验证码前先弹出一个图片验证码,用户验证通过后才真正发送短信出去,避免被人恶意发送垃圾信息造成资损
两者没有必然关系吧。
"避免被人恶意发送垃圾信息造成资损" 这个应该后端限流吧,而不是靠前端; 打比方,后端没有限制的时候,单纯弹出验证码输入后就发送,如果只是4位数的验证码,我徒手一分钟就能输入十几个发送了。 再退一步,用py写个ocr识别验证码,后端没限制情况下,基本就能轰炸了。 所以重点是后端的限制策略。
发验证码前输入图形验证码,我觉得这个真的是一个非常让人反感的操作; 1、单纯简单的图形验证码,各语言的ocr库都能识别,并且成功率也非常高,你对抗的反而是真正的客户。 2、复杂点的验证规则也可以,比如说各种奇葩的验证方式,拖动拼图选择物品之类的,但这类接口用第三方是需要付费吧?自己写的话真人判定规则是不是一直更新,人工成本呢?
但是如果后端,针对收码手机号加规则,1分钟内只能发一次,登录场景同号码一天不超过5次。这样用户即不会反感,也比前端验证安全多了.....
验证码本身就是后端验证通过后才继续发送短信通知的,不是前端拦住。单纯限制手机号,有的恶意用户批量给你制造不同的手机号就发出去了,根本不会重复。即使在限制ip的情况下,现在有的宽带服务提供商路由器重连就会自动分配,成本也不高。相比较来说,验证码才是最可靠的保证手段
前后端都做限制才行
对,所以需要验证码,可以在设置里加开关决定是否要启用
这个找前端写一个了
已经改完了
两者没有必然关系吧。
"避免被人恶意发送垃圾信息造成资损"
这个应该后端限流吧,而不是靠前端;
打比方,后端没有限制的时候,单纯弹出验证码输入后就发送,如果只是4位数的验证码,我徒手一分钟就能输入十几个发送了。
再退一步,用py写个ocr识别验证码,后端没限制情况下,基本就能轰炸了。
所以重点是后端的限制策略。
发验证码前输入图形验证码,我觉得这个真的是一个非常让人反感的操作;
1、单纯简单的图形验证码,各语言的ocr库都能识别,并且成功率也非常高,你对抗的反而是真正的客户。
2、复杂点的验证规则也可以,比如说各种奇葩的验证方式,拖动拼图选择物品之类的,但这类接口用第三方是需要付费吧?自己写的话真人判定规则是不是一直更新,人工成本呢?
但是如果后端,针对收码手机号加规则,1分钟内只能发一次,登录场景同号码一天不超过5次。这样用户即不会反感,也比前端验证安全多了.....
验证码本身就是后端验证通过后才继续发送短信通知的,不是前端拦住。单纯限制手机号,有的恶意用户批量给你制造不同的手机号就发出去了,根本不会重复。即使在限制ip的情况下,现在有的宽带服务提供商路由器重连就会自动分配,成本也不高。相比较来说,验证码才是最可靠的保证手段
前后端都做限制才行
对,所以需要验证码,可以在设置里加开关决定是否要启用
这个找前端写一个了
已经改完了