Java 防止短信验证码接口被盗刷问题解决
更新时间:2026年02月07日 10:12:46 作者:uup
本文主要介绍了Java 防止短信验证码接口被盗刷问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
一、Bug 场景
在一个基于 Java 的 Web 应用中,用户注册或找回密码等功能依赖短信验证码进行身份验证。然而,近期发现短信验证码接口被恶意用户频繁调用,导致大量短信被发送,不仅增加了运营成本,还影响了正常用户的使用体验,甚至可能因触发运营商短信发送限制而导致服务不可用。
二、代码示例
短信发送服务类(有缺陷)
import java.util.Random;
public class SmsService {
public void sendSms(String phoneNumber) {
// 生成 6 位随机验证码
int code = new Random().nextInt(900000) + 100000;
System.out.println("向 " + phoneNumber + " 发送短信验证码: " + code);
// 实际应用中应调用短信发送 API 发送验证码
}
}
短信验证码接口控制器(有缺陷)
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class SmsVerificationCodeController {
private SmsService smsService = new SmsService();
public void sendVerificationCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
String phoneNumber = request.getParameter("phoneNumber");
if (phoneNumber != null) {
smsService.sendSms(phoneNumber);
response.getWriter().println("短信验证码已发送");
} else {
response.getWriter().println("手机号不能为空");
}
}
}
三、问题描述
- 预期行为:正常用户在需要时能够获取短信验证码,且恶意用户无法通过频繁调用接口来盗刷短信验证码,确保短信发送资源合理使用,服务稳定运行。
- 实际行为:恶意用户可以通过编写自动化脚本,不断调用短信验证码接口,导致大量不必要的短信被发送。这是因为当前接口没有任何限制机制,无论是正常用户还是恶意用户,只要提供了手机号,就可以无限制地获取短信验证码。
四、解决方案
- 增加频率限制:通过记录用户请求频率,限制同一手机号在一定时间内的短信发送次数。可以使用 Redis 来存储手机号的发送记录和时间戳。
import redis.clients.jedis.Jedis;
import java.util.Random;
public class SmsService {
private static final int MAX_SENDS_PER_MINUTE = 3; // 每分钟最多发送 3 次
private Jedis jedis;
public SmsService(Jedis jedis) {
this.jedis = jedis;
}
public boolean canSendSms(String phoneNumber) {
String key = "sms:limit:" + phoneNumber;
Long count = jedis.incr(key);
if (count == 1) {
jedis.expire(key, 60); // 设置过期时间为 1 分钟
}
return count <= MAX_SENDS_PER_MINUTE;
}
public void sendSms(String phoneNumber) {
if (canSendSms(phoneNumber)) {
int code = new Random().nextInt(900000) + 100000;
System.out.println("向 " + phoneNumber + " 发送短信验证码: " + code);
// 实际应用中应调用短信发送 API 发送验证码
} else {
System.out.println("发送频率过高,请稍后再试");
}
}
}
修改后的短信验证码接口控制器
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import redis.clients.jedis.Jedis;
import java.io.IOException;
public class SmsVerificationCodeController {
private SmsService smsService;
public SmsVerificationCodeController(Jedis jedis) {
this.smsService = new SmsService(jedis);
}
public void sendVerificationCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
String phoneNumber = request.getParameter("phoneNumber");
if (phoneNumber != null) {
smsService.sendSms(phoneNumber);
response.getWriter().println("短信验证码已发送");
} else {
response.getWriter().println("手机号不能为空");
}
}
}
- 使用图形验证码:在发送短信验证码之前,要求用户先输入图形验证码。用户只有正确输入图形验证码后,才能请求短信验证码,增加恶意调用的难度。
// 图形验证码生成和验证逻辑(示例代码,实际需更完善实现)
public class CaptchaService {
public String generateCaptcha() {
// 生成图形验证码的逻辑,返回验证码字符串
return "1234";
}
public boolean verifyCaptcha(String inputCaptcha, String storedCaptcha) {
return inputCaptcha.equals(storedCaptcha);
}
}
再次修改后的短信验证码接口控制器
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import redis.clients.jedis.Jedis;
import java.io.IOException;
public class SmsVerificationCodeController {
private SmsService smsService;
private CaptchaService captchaService;
public SmsVerificationCodeController(Jedis jedis) {
this.smsService = new SmsService(jedis);
this.captchaService = new CaptchaService();
}
public void sendVerificationCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
String phoneNumber = request.getParameter("phoneNumber");
String inputCaptcha = request.getParameter("captcha");
if (phoneNumber != null) {
String storedCaptcha = "1234"; // 实际应用中应从 session 或其他存储中获取
if (captchaService.verifyCaptcha(inputCaptcha, storedCaptcha)) {
smsService.sendSms(phoneNumber);
response.getWriter().println("短信验证码已发送");
} else {
response.getWriter().println("图形验证码错误");
}
} else {
response.getWriter().println("手机号不能为空");
}
}
}
- IP 访问限制:记录请求的 IP 地址,限制同一 IP 在一定时间内对短信验证码接口的访问次数。同样可以使用 Redis 来实现。
import redis.clients.jedis.Jedis;
import java.util.Random;
public class SmsService {
private static final int MAX_REQUESTS_PER_IP_PER_MINUTE = 10; // 每分钟每个 IP 最多请求 10 次
private Jedis jedis;
public SmsService(Jedis jedis) {
this.jedis = jedis;
}
public boolean canSendSmsFromIp(String ip) {
String key = "sms:ip:limit:" + ip;
Long count = jedis.incr(key);
if (count == 1) {
jedis.expire(key, 60); // 设置过期时间为 1 分钟
}
return count <= MAX_REQUESTS_PER_IP_PER_MINUTE;
}
// 其他方法不变
}
最终修改后的短信验证码接口控制器
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import redis.clients.jedis.Jedis;
import java.io.IOException;
public class SmsVerificationCodeController {
private SmsService smsService;
private CaptchaService captchaService;
public SmsVerificationCodeController(Jedis jedis) {
this.smsService = new SmsService(jedis);
this.captchaService = new CaptchaService();
}
public void sendVerificationCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
String phoneNumber = request.getParameter("phoneNumber");
String inputCaptcha = request.getParameter("captcha");
String clientIp = request.getRemoteAddr();
if (phoneNumber != null) {
String storedCaptcha = "1234"; // 实际应用中应从 session 或其他存储中获取
if (captchaService.verifyCaptcha(inputCaptcha, storedCaptcha) && smsService.canSendSmsFromIp(clientIp)) {
smsService.sendSms(phoneNumber);
response.getWriter().println("短信验证码已发送");
} else if (!captchaService.verifyCaptcha(inputCaptcha, storedCaptcha)) {
response.getWriter().println("图形验证码错误");
} else {
response.getWriter().println("请求频率过高,请稍后再试");
}
} else {
response.getWriter().println("手机号不能为空");
}
}
}
到此这篇关于Java 防止短信验证码接口被盗刷问题解决的文章就介绍到这了,更多相关Java 防止短信验证码接口被盗刷内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
mybatis-plus无法通过logback-spring输出的解决方法
本文主要介绍了mybatis-plus无法通过logback-spring输出,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2021-11-11
springboot jar包启动脚本,适用于快速启动,删除,重启,以及查看状态,下面这篇文章主要给大家介绍了关于SpringBoot为何可以使用Jar包启动的相关资料,文中通过实例代码介绍的非常详细,需要的朋友可以参考下2022-03-03
Stream使用一种类似用SQL语句从数据库查询数据的直观方式来提供一种对Java集合运算和表达的高阶抽象。接下来通过本文给大家分享java8中的Stream数据流知识,感兴趣的朋友一起看看吧2017-10-10
如何在SpringBoot项目中集成SpringSecurity进行权限管理
在本文中,我们将讨论如何在Spring Boot项目中集成权限管理,我们将使用Spring Security框架,这是一个专门用于实现安全性功能的框架,包括认证和授权,需要的朋友可以参考下2023-07-07
这篇文章主要为大家介绍了java开发实现订阅到货通知帮我们买到想买的东西示例demo,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-02-02
这篇文章主要介绍了Java生成pdf文件或jpg图片的案例讲解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-01-01
关于@OnetoMany关系映射的排序问题,使用注解@OrderBy
这篇文章主要介绍了关于@OnetoMany关系映射的排序问题,使用注解@OrderBy,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-12-12
下面小编就为大家带来一篇Java基础的几道练习题(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧,希望可以帮到你2021-07-07
这篇文章主要为大家详细介绍了java弹幕小游戏1.0版本,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-10-10
这篇文章主要介绍了使用String类的compareTo方法比较规则,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2025-06-06
最新评论