调用短信接口步骤

这两天比较头疼啊，更新也慢了，我们遭遇了境外的验证码借口的攻击，十分钟之内啊，被非法请求了一万多条境外短信，直接就把短信账户给干停了，还倒扣了五千多块钱啊，损失惨重，陆陆续续差不多持续了有五轮吧啊，也不知道得罪了哪位大佬了 啊，真的是无语到家了。嗯，可能有同学会说啊，为啥不做防护啊，对吧，攻击力不是活该。这个呢，其实要跟大家解释一下哦，首先呢，我们 只是一个小的不能再小的一个创业公司，对吧，也没有什么竞争对手，而且在攻击验证码接口也没有什么好处呀，对吧，没有理由攻击，不像什么牧马病毒啊，勒索病毒啊，挖矿病毒啊等等，对吧，会利用你的服务期资源来做一些这个啊不可告人的勾当。其次呢，我们 其实也做了一些技术的防护啊，比如说一个号码啊，一分钟之内只允许发动几条啊，一个小时就允许发动几条，对吧？那么另外针对 ip 啊，一个独立的 ip， 一分钟一个小时，在发送频率上面我们也做了限制， 但是呢，悲剧还是发生了，照样没能防住，为什么？因为他的 ip 不停的在变，攻击的 ip 不停的在变，号码呢，也不停的在变， 我们之前上的防护呢啊，根本起不了任何的作用。这个呢，就有点类似于这个迪道斯攻击，对吧？啊，只是攻击的是英德玛的接口， 利用这个封幕式的这个攻击啊，封幕式 ip 的攻击，对吧，耗尽了我们的短信资源，让其他的一些正常的用户呢，好没办法登录啊，或者是做其他的一些这个呃操作，然后呢就开始 着手防护了，对吧？所有的短信接口都加了这个通信验证码，验证啊，在发送短信之前，你得先输入这个通信验证码吧，服务器短信验证没有问题之后啊，才能够请求啊，这个真实的短信接口， 这个大家应该都比较熟悉了，属于比较常见的这个验证手段，当然了还有其他的一些形式啊，比如说像这个滑动验证码等等，对吧？ 这个呢虽然稳妥一些啊，但是确实增加了验证的步骤，一定程度呢也影响了这个用户体验。一般的互联网公司呢，也都是在一些比较关键的功能上面才会加啊，或者是打造一定的这个量啊，识别到了一些风险之后，才会触发这个通行验证码。 另外对于这个接口的请求的频率呢，也做了限制啊，比如说一分钟之内直接就发送五百条，一千条，对吧，超过了这个量呢，就会 出发啊，这个限制啊，限制他发送，当然不差钱的，可以考虑上一些这个平台的防污手段啊，比如说像这个阿里的高房，对吧， 但是呢比较贵啊，有条件的呢，可以去考虑一下。好了，本期的视频呢就是谢了，如果您对本期的内容呢，有任何疑问，欢迎大家在评论区给我留言，谢谢大家。

兄弟们，出大事了！前两天有个粉丝哭丧着脸找我，说他们公司新上的活动短信接口，半夜被黑产给炸了。 一觉醒来，阿里云账单欠费五万多块，本视频完整笔记我都整理进了两百万字的 java 加 ai 面试题库里了，里面包含了主流技术站与几十个项目场景题， 还有各个工作年限的简历模板，以及 java 和 ai 大 模型的学习路线。老板脸都绿了，当场就要把它给优化掉。如果是你负责这个项目，面对这种疯狂的短信轰炸，到底该怎么防？ 想要防得住，你得先知道对手是谁对吧？看这张图，搞你的黑产通常就两波人，第一波是短信轰炸机，纯粹报复社会，逮着一个受害者手机号死命发。 第二波更狠薅羊毛注册机，手里几十万个廉价手机号，加上动态 ip 批量注册，来把你家底掏空，这帮人手段野得很。 那遇到这事，很多新手的第一反应是啥？老师，我在前端搞个倒计时，点了发送按钮就智慧六十秒不就行了？ 哎呦喂，太天真了，这叫青铜防御，黑铲是直接调你的后端 api 接口，谁傻乎乎的在浏览器里点你的按钮啊？你这就好比家里装了防盗门，结果窗户大敞着，完全没用，那咋办？上硬菜 来看看这三道真正管用的黄金防线。第一道，强制滑块验证，但记住了啊，重点不是前端，划过了就行， 重点是后端必须二次叫叶划桨的 tiktok 的 不对直接打回，这能拦住百分之九十的傻瓜脚本。第二道， reddis 多为限流，别光限 ip。 现在的代理 ip 极其廉价，你得用 reddis lua 脚本保证原子性，同时卡住两个维度，同一个手机号的发送频次，防轰炸和同一个 ip 的 发送频次，防羊毛党。 第三道接口，签名，防止黑客抓到一个正常的包后疯狂重放，加上时间戳随机数和签名校验，过期的重复的请求统统去掉。技术防线搞定了。 但如果对方是真人肉鸡怎么办？这时候就得靠王者级的骚操作了。在业务逻辑里埋雷，比如找回密码，场景先查库，手机号都不存在，你发什么短信直接报错，或者更坏一点，假装发送成功耗死他。还有更绝的蜜罐参数， 在页面埋个正常人看不见的隐藏输入框，脚本要是傻乎乎填了，嘿嘿，直接封 ip。 万一，我是说万一啊，前面这些防线全崩了咋办？还得留一手最后的兜底大招，三 t 的 网管留空，给短信接口设个总闸，比如一秒钟最多放行一百个请求，就算被炸，好歹能保住你的钱包，不会瞬间归零， 给你留下报警的时间。兄弟们，记住了，没有绝对安全的接口防刷就是一场成本博弈。把这套滑块加 res 加签名加蜜罐加兜底的组合拳打出来，黑厂看见你都得绕道走。 学会了吗？我是 fox， 关注我只讲书上不写的实战坑，完整的笔记我已经整理好，收入到了我的大厂高平面式提中了。

唐老师，请问短信验证码结果被狂刷，搞得我的服务器都快崩溃了，我该怎么办？现在都是云时代了，我想这个问题不应该出现了吧， 现在应该有很多非常多的一些短信服务提供商，他应该都会自带一些防火强啊，这样的功能不是他是所有的认证的，都是自己开发的，所以呢，后台只是占用了发送短信的一个接口而已，而且这是狂刷呢，导致了整个短信费用瞬间飙升，所以后面呢，是把路口全程关闭之后才及时止损的。 你看看这个是后台的一个统计结果，凝聚毕生所学，给大家研制了一份 java 程序员的一个求职突击手册， 简历模板面试图积压题一周的一个技术提升以及嘉娃提升的一个完整学习路线。领取方式呢，在我视频主页一次在手，保你高薪无忧哦。相当于这种情况的话，我可以给以 下几点建议吧。第一点呢，就是根据限制发送短信的一个时间间隔，比如说规定每隔六十秒以后才能够再次发送， 然后后台呢，可以记录每个手机号他发送短信的一个时间点，在发送短信之前呢，去交验一下，看这个时间间隔呢是否大于六十秒，如果是小于六十秒的话，就可以直接拒绝响应，只有在大于六十秒呢，才能去调用短信的一个发送接口。 当然呢，我们为了去提高用户体验的话，可以在前端页面再加上一个六十秒的一个倒计时的一个提示，那如果没有达到这个时间限制呢，我们就可以将发送按钮设置为禁用状态， 这种处理方式呢虽然非常普遍，但是对于技术稍微好一点程序员来说，完全可以去绕过这个限制，所以呢我们还需要继续加强这个防护措施。那第二点呢，就是还可以去设置手机号码的一个发送的次数上限， 比如说规定同一个手机号码在二十四小时之内不能够超过五条，那如果发送超过五条的话呢，就可以提示这个用户呢到第二天再操作，或者呢要拿去申请这个人工服务。当然呢加上这条信息呢，也只能够去避免人工的一个手动刷短信而已。 对于批量使用不同的手机号码来刷短信的机械来说呢，制作方式也是无可奈何的。所以呢我们还需要第三点， 就是可以去增加一个图形的验证码加验，比如说同一个 ip 地址或者是同一个手机号码，如果他连续发送三条以上，我们就需要输入一个图形验证码，才能够去触发一个发送短信的动作， 真的话呢，他又可以拦截一大批的一个恶意的请求，但是呢如果说恶意刷短信的这个手机号码非常多，而且呢代理 ip 呢也非常多，那么增加 这一点呢，还是会决定这个风险的，所以呢为了继续加强防护呢，我们可以去增加第四点，去控制短信的一个验证码接口的一个交通频次，比如说在三十分钟以内，我们规定同一个 ip， 然后呢同一个手机号码只能发送同一个验证码， 也就是说我们可以将第一次请求短信接口的一个验证码结果，然后呢缓存到我们服务器的本地，那么只要在三十分钟以内，不管他发送多少次请求，我们就可以直接从缓存中取出这个结果返回就可以了。 当然这种方式呢，对一些特殊场景是不允许这样设计的，比如说我们银行转账的一个短信息代码接口，另外呢还可以增加第五点，就是可以加上一个前后端的一个请求的一个唯一先交验，比如说给每一次请求呢加上一个脱梗的参数，那么在前端页面请 请求发送短信的时候呢，就同时要携带一个由我们的服务器后台生成的一个这样的一个脱口参数，而呢服务器呢对这个脱口参数呢进行交验，那么只有交验通过之后，才能够去请求我们发送短信的接口，然后呢向用户发送短信， 最后呢为了去避免我们的后台服务过多的去处理一些无效的请求，所以呢还可以增加第六点， 可以设置一个黑名单，比如说我们将频繁请求的 ip 地址和手机号码直接加入到黑名单里面去，在黑名单里面的 ip 或者手机号码就可以直接禁止去请求我们的服务接口，当然呢这种情况有可能会出现系统的误判，那么如果说误入黑名单的话呢，也可以设置一个人工的一个解禁的一个入口。 以上呢，就是我对短信接口被狂刷的一个解决方案，各位汤粉如果还有更好的方案的话，可以在评论区分享。

终于又干完了一节课啊，怎么获取短信验证码这个接口呢？已经写完了，这个课程已经写完了。不要小看这个获取短信验证码这个东西啊，你看都有这么多东西要需要注意的，看还画了一些流程图，对吧？ 不要看这个功能小，其实很多东西是需要注意的啊。很多东西是需要注意的，想了解具体的可以看一下八哥的这个录制的这个课程啊。

训练开发于如何进行手机号码的验证，看一下，我们需要两个接口，一个是获取验证码的接口，一个是进行验证的接口，看一下啊，怎么实现？看在哪验证码获取的接口以及验证码进行验证的接口。看一下啊，这个是获取验证码的接口， 掉这个接口就可以了，然后参数成这些，然后点提交， 获取成功，看一下验证码是多少啊？ 成功之后呢，我们再测一下这个 验证码，这个是用来拆开的一个方法，把验证码放进去，首先把放进去，然后点提交， 这时候是成功的甲丁我换一个，然后再点提交，就不对了啊，验证码一定是正确才行。

通过阿里银发短信，在新的版本中需要给指定的账户授予发短信的权限，否则就会发不出去。我们说一下怎么给账户授予发短信的权限，非常的简单。 首先我们登录阿里的平台，然后点击我们的访问控制，在访问控制中打开之后，我们看一下左侧有一个用户，点开我们的用户，如果没有用户，这时候我们要点添加， 如果已经添加，那我们要找到用户的右侧有一个添加权限。点开新增权限之后，我们直接搜索短信，下面会出来两个权限，勾上这两个权限，点击确认，就有了发送短信的权限。

面试项目场景，被问到短信验证码接口怎么防刷？有同学说，用 radis 啊，限制同一个手机号，一分钟只能发一次，这太简单了吧。 大家想一想，现在的黑蚕手里有什么？他们有互联网卡，有接码平台，手里握着几万个手机号，你限制单手机号，他可以换个号接着刷。那你又说了，那我限制 ip 好， 黑蚕有代理 ip 池，几百万个 ip 轮着切。 而且如果你们全公司都在一个办公室，连 wifi 出口 ip 是 一样的，你把 ip 封了，全公司几百人都收不到验证码了，这不就误伤了吗？ 所以只靠 radis 限流，在真正的黑产面前就是纸糊的。那到底怎么设计？大家往下看，我给你们总结了一套四维组合拳。首先看这个蓝色的区域，这是我们的第一权，设备指纹。 既然手机号能换， ip 能换，那什么东西换起来成本最高是设备。我们在前端利用 canvas 字体列表这些信息，算出一个唯一的 device id， 不 管你怎么换 ip， 只要你还是这台电脑，你的 device id 就 不变。所以我们的限流策略要升级。大家看，这我们不光限手机号，还要限设备 id， 比如同一个设备 id， 一 分钟只能发一次， 这就挡住了大部分脚本。小子，那有同学问了，老师，那要是黑铲用虚拟机模拟器疯狂篡改设备信息怎么办？问的好， 这就需要我们的第二权。看这个紫色的区域，智能风控本视频的代码笔记，我整理进了两百万字的 java 与 ai 大 模型学习笔记里了，里面包含了三十多个技术站与几十个项目场景实战笔记，还有不同工作年限，同学的简历模板，以及一份 java 加 ai 的 三十天面试突击学习路线，需要的话直接拿去。这一层我们不看你是谁，我们看你怎么动。大家想， 正常人输手机号是不是得一个数字？一个数字敲是不是得有鼠标移动的轨迹？如果一个请求过来，没有任何鼠标轨迹，或者输入手机号，只用了一毫秒，这是人吗？这就不是探击生物能干出来的事，这绝对是脚本。所以 风控引擎会给这个请求打分，如果是正常人，直接 pass， 如果觉得可疑，哎，别急着封号，给他弹一个最难的滑块验证码或者拼图。黑厂要破解这个成本就高了去了。 好，前两权防住了大部分，但万一黑产还是突破了怎么办？大家看这个橙色的区域，这是第三权通道兜底。这一层我们要解决的核心问题不是防注册，而是防资损，也就是防止公司亏钱。很多黑产用的是幺七零幺七幺开头的虚拟运营商号码， 我们直接在短信服务商那边配置，把这些号段全禁了，宁可错杀，绝不放过。还有这个，这非常重要，我们设置一个预值， 比如今天短信费超过一千块，或者发送量突然暴涨十倍，立马触发熔断，自动暂停服务并报警。哪怕系统挂了，也不能让公司一晚上亏掉一套房，对不对？ 最后我们来看最下面这个绿色的区域，如果黑产没刷到短信，但是他把请求发进来了，把你数据库塞满了垃圾僵尸号怎么办？ 这就需要第四权一步清洗。我们搞一个后台定时任务，逻辑很简单，如果一个账号注册了七天一次都没有登录过，或者没有任何业务行为，我们就判定他是僵尸号，直接 delete， 并且把当时注册的 ip 段加入黑名单，我们要保证数据库里留下的都是高价值的真实用户。 最后，下次面试官再问你，短信防刷怎么设计？千万别只说 res 了，你要把这张图印在脑子里，第一，用设备指纹识别身份。第二，用行为风控识别脚本。 第三，用通道垄断防止亏钱。第四，用异步清洗清理垃圾。这一套组合拳打出来，面试官才会觉得你是真的懂高病房安全，而不是在那背八股文哦！

手机短信接口应该如何对接？一、需要注册第三方短信平台账号，注册地址每家公司都是不相同的， 可以具体咨询一下。二、完成身份认证信息支持企业认证和个人认证，企业提供营业执照，个人提供手持身份证证件照。三、申请接入短信接口。如果企业有技术人员， 可以自行完成短信接口对接，如果没有技术人员，可以安排短信公司技术人员一对一指导接入。四、接入完成后，可使用系统赠送的短信条数进行测试，但是群发的内容一定是审核通过的内容，才能够正常发送。

啊，我看你项目里面做了短信验证码，那你短信验证码的这个接口啊，怎么去防刷 那个就加个验证码就行了啊，你这个回答肯定不行啊，这道题核心就是考接口安全的设计，恶意请求拦截和用户体验的一个平衡能力，你需要从多维度来考虑。第一个维度基础限流，同一个手机号一分钟内最多只能发一次对不对？一小时不能超过三条，二十四小时不能超过十条， 比如说我们经常遇到的一天，你如果发十条，你就不能发了，避免单手机号被高频的掉落。第二个，同一个 ip， 一 小时内最多给五个不同的手机号发验证码，防止你批量放号去刷量。然后第三个通过设备指纹标识，比如说设备 id， 同一设备一小时内最多关联三个手机号 来阻断该 ip 补改设备的刷量行为。然后第二个维度就是身份教育，如果你担心简历上的东西讲不出来，我已经把面试经常问到的一些技术站场景题都整理在两百万字的面试文档了，里面针对每个知识点都有很详细的解析思路， 只要你是我的粉丝，留言六六六就可以打包带走。比如说第一个图形交易和行为验证码之前，你必须要先滑动一个模块对不对？或者说先去点击一些图片， 然后呢，这个就是我们起到一个拦截器的作用。然后第二个业务场景的绑定，验证码仅对当前业务有效，并且绑定用户会话，然后避免验证码附用。然后第三个黑名单的拦截，维护一些恶意手机号、 ip 设备的黑名单直接拒绝接口请求，黑名单可以通过异常的行为自动添加， ok， 然后第三个维度呢，就是验证码安全，一个验证码有效期一般只设六十到一百二十秒，超时自动失效，且一次验证码仅能验证一次，验证成功以后呢，立即作废。然后验证失败以后，仅提示验证码过期，或者说错误，不明确告知具体的原因，降低恶意试探的效率， ok， 清楚了吗？

金迪 m u 一 二四 usb 接口桌面型短信设备，十个短信通道可同时插入十张 s i m 卡发送，接收速度是单通道的十倍。 军工品质，坚固稳定，小巧精致，产品内部设计紧凑，稳定性也有很大的提升，信号超强，工业级机箱体积小巧，面积仅是一本书大小，尤其适合桌面使用。 采用 usb 接口与计算机连接，只通过一根 usb 数据线即可，只要电脑有用 s b 口就可以使用。支持移动、联通、电信四 g 网络， 搭配外板中间键使用，可以自动检测短信设备。通过开放的数据库接口和 http 接口，实现多路短信设备同时发送与接收，可以由系统自动选择端口发送， 也可以指定端口发送短信，支持同步和一步两种发送模式。 金迪短信中间件 y 版最大限度地降低了短信设备开发及部署的门槛，使广大程序员不需要了解短信硬件， 只需要跟数据库打交道就可以实现短信功能，使各种 csb 应用软件增加短信功能，变得十分方便、快捷、可靠。金迪 m u 一 二四可应用于交通、 电力、地震预测、气象、办公 a 等预警平台。

大家好，今天给大家介绍一下金迪十口短信转发器如何选择 收验证码。金迪有三款设备可供选择，分别是金迪 m u 幺二四短信十口转发器、 wifi 十口短信转发器。 一、金迪 m u 幺二四是 usb 接口实卡设备。这款设备可收可发，收到短信后可以转发到自定义的 url， 适合接收短信程序自动化处理的场景， 需要连接到笔记本电脑或服务器上使用一台电脑可以连接五至九台设备，可以实现五十至九十张 sim 卡短信同时接收。 这款产品的特点是搭配肩抵短信中间键，用户可以对短信实现更加灵活的控制。 二、金迪十口短信转发器，实现收到短信后转发到钉钉群、飞书群等功能。这款设备支持同时十张 sim 卡接收， 通过 sim 卡自身的流量将短信转发到手机 app 里，每个 sim 卡每个月消耗一至二 m b 的 流量，如果 sim 卡是没有流量的，则不能使用这款设备。 三、金迪十可 wifi 短信转发器和十可普通转发器不同之处在于支持本地 wifi 功能， sim 卡没有流量则可以使用这款。 以上就是金迪适合短信转发的三款设备， 请大家根据自己的实际情况选择合适的设备，感谢大家观看。