从Web2.0到移动互联网时代后，越来越多的产品功能开始使用*验证功能，注册/登录/*/支付.. ，可以说*服务（接口）已经成为****重要的技术基础设施之一。也正是因为重要，越来越多的恶意攻击事件开始围绕着*接口进行，很多团队也因此踩过坑。所以，今天梳理一下常用的*接口攻击防范措施，供大家参考。

 一，身份验证

1. 图形校验码和*验证码进行绑定，当用户输入*码以后，需要输入图形校验码或者根据图形进行某种逻辑运算（比如25 + 壹 = ？）才可以触发*，这样能比较有效的****软件恶意点击。

2. 触点验证：让用户选择某个*的某些图标或文字，典型案例有12306火车售*，不过用户体验会受到比较大的影响，效率和安全很多时候就是一对矛盾体。特别是要求选择的物品比较奇葩的时候，在某种程度上“伤害”了****普通的用户。-_-! 

3. 滑动验证：目前越来越流行的方式，主要是通过鼠标拖动来实现验证，

对于普通的图形验证码容易被各种*机械*，而滑动验证只能监ting鼠标动作，不能通过数据验证，达到****机械*的作用。

以上三种做法，都有现成的开源类库作为参考，可以在上面根据自身的情况做二次开发。

二，业务流程限定

通过设定特定的业务流程来阻止攻击脚本，比如以下两个方案：

1. 将流程进行一分为二，****行业务操作，再进行*验证。例如，将手机*验证和用户名注册分成两个步骤，用户在注册成功用户名密码后，下一步才进行手机*验证。简单来说，拿不到新用户的*，*是不会触发成功的。

2. 必须填写相关信息才能触发*，例如，用户必须填写好所有注册信息才可进行触发，注册资料不完整无法发送验证码。

三，触发限制

通过挖掘和限定非正常的用户行为，对*的触发进行管控，一般有以下三类做法：

1.  发送间隔设置，设置同一号码重*送的时间间隔，一般设置的间隔为60-120秒；

2.  触发IP限定，设置每个IP每天的****da发送量；

3.  发送量限定，设置每个*码每天的****da发送量；

除此之外，请在验证码内容加上*操作，如：回复TD拒收；*回复TD等相关内容。当非用户触发接收的*，用户回复TD以后，平台将会将其列入拒发数据库，将会停止对该号码发送。

*验证码的行业应用案例

*验证码类接口是企业或商家对接后台系统，通过触发自动下发*，属于接口类*。需要用到一品*提供的*验证码接口给企业或商家做嵌入对接，方能实现。

哪些行业会用到*验证码接口呢？

1.APP应用软件：豌豆荚、饿了么、美团、百度糯米、掌上理才等，主要是用于会员注册、下单提醒等；

2.电商网站：用户注册、支付验证、购买商品订单通知、新品上架*提醒等；

3.各大在线学习网站：美联英语、英孚、韦博等，这类行业主要是用于下发会员注册验证码、课程学习通知、领取学习资料提醒类等信息；

4.各大游戏网站：用于下发会员注册类信息、修改密码、领取奖励等信息。

5.服务型系统或网址：比如说：火车**网站、各大旅游网、*订购网、51工积金、积分宝等，用于发注册类、消费提醒类、查阅通知类信息等。

6.**金容：ppmoney 、中科创、天勤资本在线、人人贷、钱多多、小牛在线等，这类企业主要是用于下发会员注册验证码、*通知、修改密码、充值通知、账户余额变动提醒等通知类信息 等等。

*验证码类内容模板举例：

【**公司】验证码***，您正在注册成为***用户，感谢您的支持！

【**公司】您账户正在重置密码，验证码是 ******,请在10分钟内按页面提示提交验证码，切勿随意*，谢谢！

艾派*通（古*号码：839057 *s.i314*）十几年来都为移动的****合作单位，能提供*验证码、国际*、发送会员或内部通知、节假日问候、促销通知等等客户服务，可有效协助企业进行营销宣传、活动预热、售后服务、客户维护、会员管理等一站式移动营销服务。

艾派*通不需要硬件和软件就可以**达到营销目的。采用正规的三网合一集团通道，具有全国全网发送、高速快捷、成功率高、资费低廉等特点。15年的品质保证，值得您的信赖！