Java 防止短信驗(yàn)證碼接口被盜刷問(wèn)題解決

更新時(shí)間：2026年02月07日 10:12:46 作者：uup

本文主要介紹了Java 防止短信驗(yàn)證碼接口被盜刷問(wèn)題解決,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

一、Bug 場(chǎng)景

在一個(gè)基于 Java 的 Web 應(yīng)用中，用戶注冊(cè)或找回密碼等功能依賴短信驗(yàn)證碼進(jìn)行身份驗(yàn)證。然而，近期發(fā)現(xiàn)短信驗(yàn)證碼接口被惡意用戶頻繁調(diào)用，導(dǎo)致大量短信被發(fā)送，不僅增加了運(yùn)營(yíng)成本，還影響了正常用戶的使用體驗(yàn)，甚至可能因觸發(fā)運(yùn)營(yíng)商短信發(fā)送限制而導(dǎo)致服務(wù)不可用。

二、代碼示例

短信發(fā)送服務(wù)類（有缺陷）

import java.util.Random;

public class SmsService {
    public void sendSms(String phoneNumber) {
        // 生成 6 位隨機(jī)驗(yàn)證碼
        int code = new Random().nextInt(900000) + 100000;
        System.out.println("向 " + phoneNumber + " 發(fā)送短信驗(yàn)證碼: " + code);
        // 實(shí)際應(yīng)用中應(yīng)調(diào)用短信發(fā)送 API 發(fā)送驗(yàn)證碼
    }
}

短信驗(yàn)證碼接口控制器（有缺陷）

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class SmsVerificationCodeController {
    private SmsService smsService = new SmsService();

    public void sendVerificationCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String phoneNumber = request.getParameter("phoneNumber");
        if (phoneNumber != null) {
            smsService.sendSms(phoneNumber);
            response.getWriter().println("短信驗(yàn)證碼已發(fā)送");
        } else {
            response.getWriter().println("手機(jī)號(hào)不能為空");
        }
    }
}

三、問(wèn)題描述

預(yù)期行為：正常用戶在需要時(shí)能夠獲取短信驗(yàn)證碼，且惡意用戶無(wú)法通過(guò)頻繁調(diào)用接口來(lái)盜刷短信驗(yàn)證碼，確保短信發(fā)送資源合理使用，服務(wù)穩(wěn)定運(yùn)行。
實(shí)際行為：惡意用戶可以通過(guò)編寫自動(dòng)化腳本，不斷調(diào)用短信驗(yàn)證碼接口，導(dǎo)致大量不必要的短信被發(fā)送。這是因?yàn)楫?dāng)前接口沒(méi)有任何限制機(jī)制，無(wú)論是正常用戶還是惡意用戶，只要提供了手機(jī)號(hào)，就可以無(wú)限制地獲取短信驗(yàn)證碼。

四、解決方案

增加頻率限制：通過(guò)記錄用戶請(qǐng)求頻率，限制同一手機(jī)號(hào)在一定時(shí)間內(nèi)的短信發(fā)送次數(shù)?？梢允褂?Redis 來(lái)存儲(chǔ)手機(jī)號(hào)的發(fā)送記錄和時(shí)間戳。

import redis.clients.jedis.Jedis;
import java.util.Random;

public class SmsService {
    private static final int MAX_SENDS_PER_MINUTE = 3; // 每分鐘最多發(fā)送 3 次
    private Jedis jedis;

    public SmsService(Jedis jedis) {
        this.jedis = jedis;
    }

    public boolean canSendSms(String phoneNumber) {
        String key = "sms:limit:" + phoneNumber;
        Long count = jedis.incr(key);
        if (count == 1) {
            jedis.expire(key, 60); // 設(shè)置過(guò)期時(shí)間為 1 分鐘
        }
        return count <= MAX_SENDS_PER_MINUTE;
    }

    public void sendSms(String phoneNumber) {
        if (canSendSms(phoneNumber)) {
            int code = new Random().nextInt(900000) + 100000;
            System.out.println("向 " + phoneNumber + " 發(fā)送短信驗(yàn)證碼: " + code);
            // 實(shí)際應(yīng)用中應(yīng)調(diào)用短信發(fā)送 API 發(fā)送驗(yàn)證碼
        } else {
            System.out.println("發(fā)送頻率過(guò)高，請(qǐng)稍后再試");
        }
    }
}

修改后的短信驗(yàn)證碼接口控制器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import redis.clients.jedis.Jedis;
import java.io.IOException;

public class SmsVerificationCodeController {
    private SmsService smsService;

    public SmsVerificationCodeController(Jedis jedis) {
        this.smsService = new SmsService(jedis);
    }

    public void sendVerificationCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String phoneNumber = request.getParameter("phoneNumber");
        if (phoneNumber != null) {
            smsService.sendSms(phoneNumber);
            response.getWriter().println("短信驗(yàn)證碼已發(fā)送");
        } else {
            response.getWriter().println("手機(jī)號(hào)不能為空");
        }
    }
}

使用圖形驗(yàn)證碼：在發(fā)送短信驗(yàn)證碼之前，要求用戶先輸入圖形驗(yàn)證碼。用戶只有正確輸入圖形驗(yàn)證碼后，才能請(qǐng)求短信驗(yàn)證碼，增加惡意調(diào)用的難度。

// 圖形驗(yàn)證碼生成和驗(yàn)證邏輯（示例代碼，實(shí)際需更完善實(shí)現(xiàn)）
public class CaptchaService {
    public String generateCaptcha() {
        // 生成圖形驗(yàn)證碼的邏輯，返回驗(yàn)證碼字符串
        return "1234";
    }

    public boolean verifyCaptcha(String inputCaptcha, String storedCaptcha) {
        return inputCaptcha.equals(storedCaptcha);
    }
}

再次修改后的短信驗(yàn)證碼接口控制器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import redis.clients.jedis.Jedis;
import java.io.IOException;

public class SmsVerificationCodeController {
    private SmsService smsService;
    private CaptchaService captchaService;

    public SmsVerificationCodeController(Jedis jedis) {
        this.smsService = new SmsService(jedis);
        this.captchaService = new CaptchaService();
    }

    public void sendVerificationCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String phoneNumber = request.getParameter("phoneNumber");
        String inputCaptcha = request.getParameter("captcha");
        if (phoneNumber != null) {
            String storedCaptcha = "1234"; // 實(shí)際應(yīng)用中應(yīng)從 session 或其他存儲(chǔ)中獲取
            if (captchaService.verifyCaptcha(inputCaptcha, storedCaptcha)) {
                smsService.sendSms(phoneNumber);
                response.getWriter().println("短信驗(yàn)證碼已發(fā)送");
            } else {
                response.getWriter().println("圖形驗(yàn)證碼錯(cuò)誤");
            }
        } else {
            response.getWriter().println("手機(jī)號(hào)不能為空");
        }
    }
}

IP 訪問(wèn)限制：記錄請(qǐng)求的 IP 地址，限制同一 IP 在一定時(shí)間內(nèi)對(duì)短信驗(yàn)證碼接口的訪問(wèn)次數(shù)。同樣可以使用 Redis 來(lái)實(shí)現(xiàn)。

import redis.clients.jedis.Jedis;
import java.util.Random;

public class SmsService {
    private static final int MAX_REQUESTS_PER_IP_PER_MINUTE = 10; // 每分鐘每個(gè) IP 最多請(qǐng)求 10 次
    private Jedis jedis;

    public SmsService(Jedis jedis) {
        this.jedis = jedis;
    }

    public boolean canSendSmsFromIp(String ip) {
        String key = "sms:ip:limit:" + ip;
        Long count = jedis.incr(key);
        if (count == 1) {
            jedis.expire(key, 60); // 設(shè)置過(guò)期時(shí)間為 1 分鐘
        }
        return count <= MAX_REQUESTS_PER_IP_PER_MINUTE;
    }

    // 其他方法不變
}

最終修改后的短信驗(yàn)證碼接口控制器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import redis.clients.jedis.Jedis;
import java.io.IOException;

public class SmsVerificationCodeController {
    private SmsService smsService;
    private CaptchaService captchaService;

    public SmsVerificationCodeController(Jedis jedis) {
        this.smsService = new SmsService(jedis);
        this.captchaService = new CaptchaService();
    }

    public void sendVerificationCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String phoneNumber = request.getParameter("phoneNumber");
        String inputCaptcha = request.getParameter("captcha");
        String clientIp = request.getRemoteAddr();

        if (phoneNumber != null) {
            String storedCaptcha = "1234"; // 實(shí)際應(yīng)用中應(yīng)從 session 或其他存儲(chǔ)中獲取
            if (captchaService.verifyCaptcha(inputCaptcha, storedCaptcha) && smsService.canSendSmsFromIp(clientIp)) {
                smsService.sendSms(phoneNumber);
                response.getWriter().println("短信驗(yàn)證碼已發(fā)送");
            } else if (!captchaService.verifyCaptcha(inputCaptcha, storedCaptcha)) {
                response.getWriter().println("圖形驗(yàn)證碼錯(cuò)誤");
            } else {
                response.getWriter().println("請(qǐng)求頻率過(guò)高，請(qǐng)稍后再試");
            }
        } else {
            response.getWriter().println("手機(jī)號(hào)不能為空");
        }
    }
}

到此這篇關(guān)于Java 防止短信驗(yàn)證碼接口被盜刷問(wèn)題解決的文章就介紹到這了,更多相關(guān)Java 防止短信驗(yàn)證碼接口被盜刷內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

Java 防止短信驗(yàn)證碼接口被盜刷問(wèn)題解決

目錄

一、Bug 場(chǎng)景

二、代碼示例

短信發(fā)送服務(wù)類（有缺陷）

短信驗(yàn)證碼接口控制器（有缺陷）

三、問(wèn)題描述

四、解決方案

修改后的短信驗(yàn)證碼接口控制器

再次修改后的短信驗(yàn)證碼接口控制器

最終修改后的短信驗(yàn)證碼接口控制器

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线 免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

Java 防止短信驗(yàn)證碼接口被盜刷問(wèn)題解決

目錄

一、Bug 場(chǎng)景

二、代碼示例

短信發(fā)送服務(wù)類（有缺陷）

短信驗(yàn)證碼接口控制器（有缺陷）

三、問(wèn)題描述

四、解決方案

修改后的短信驗(yàn)證碼接口控制器

再次修改后的短信驗(yàn)證碼接口控制器

最終修改后的短信驗(yàn)證碼接口控制器

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

一、Bug 場(chǎng)景

二、代碼示例

三、問(wèn)題描述

四、解決方案