会员注册短信接口被攻击，如何防刷？

网站或者APP注册页面，因为获取短信验证码的功能是暴露在外的，短信接口有可能被短信轰炸机攻击，那短信验证码防刷策略如何做呢？首先我们来了解一下短信接口攻击：

什么是短信接口攻击？ 个别用户出于不正当目的，自己或者委托第三方使用 “短信接口轰炸软件”，短时间内在各应用页面（主要是注册页面）模拟输入被攻击者的手机号码，批量、循环提交请求，给一些手机号码无限发送各种无效短信（如短信验证码）的行为，导致无辜的手机用户被骚扰。

短信接口攻击带来的影响 1、用户在无任何操作情况下，莫名收到大量短信验证码，对用户造成严重的骚扰； 2、使用短信验证码接口的用户，会被消耗大量的短信，同时，短信是以短信验证码接口客户的名义发出的，会对企业的品牌形象造成负面影响； 3、大量骚扰短信的发送，对短信通道及短信平台服务商的稳定安全运行造成极恶劣的影响。

如何有效防范短信接口攻击？ 基于短信接口攻击的一些特点，我们有必要采用适当的短信验证码防刷策略，来降低甚至杜绝短信接口攻击软件对我们的影响，短信接口防御一般有以下一些措施：

2、对账户进行短信限流 互亿无线验证码短信接口支持多种方式的限流机制，用户可以根据自己的业务需要及特点，设置每天的最大发送量、每号码每天、每号码每分钟的发送量，将短信被刷的风险降低在可控范围内。

3、在用户注册页面增加人机验证 短信轰炸、短信攻击一般是采用软件进行自动攻击，在逻辑上，对用户先进性人机校验，校验通过之后才允许用户点击获取验证码按钮；人机校验的方式一般有以下几种：

b) 第三方人机校验：相较图形验证码，第三方人机校验服务的安全性更高，体验更好，不过一般都是要付费使用。常见的表现形式有：

4、 在注册页面增加请求限制 a）对单个IP每天的请求次数做限制，如一天10次，超过即拒绝请求； b）对同一号码的请求时间进行限制，单一用户请求验证码之后，需要间隔60-120秒才能再次请求；且同一号码每天最多只能请求5-10次； c）将获取验证码功能放在表单（如填写用户名、密码等）和人机验证之后，即用户通过了表单校验和人机验证之后，才能点击获取验证码按钮。

短信验证码接口采用了以上一些防护措施之后，能防范绝大多数的短信接口攻击行为，大大节约您的短信成本；当然，这些策略需要在项目开发的时候就要考虑并配置，现在就注册互亿无线验证码/通知短信接口账号，免费试用。