无论网站，还是App目前基本都是基于api接口模式的开发，那么api的安全就尤为重要了。目前攻击最常见的就是“短信轰炸机”，由于短信接口验证是App,网站检验用户手机号最真实的途径，使用短信验证码在提供便利的同时，也成了呗恶意攻击的对象，那么如何才能防止被恶意调用呢？

1.图形验证码：

将图形校验码和手机验证码进行绑定，在用户输入手机号码以后，需要输入图形校验码成功后才可以触发短信验证，这样能比较有效的防止恶意攻击。目前大部分应用都是采用这种方式。

2.限定请求次数：

在服务器端限定同IP，同设备，同时间范围内的接口请求次数。比如同一号码重复发送的时间间隔,一般为60或120秒；设置每个IP每天最大的发送量；设置单个手机号每天的最大发送量。

3.流程条件限定：

将手机短信验证放在最后进行，比如需要用户必须注册后，或者用不必须填写了某些条件才能进行短信验证。

4.归属地是否一致：

服务器端检查用户的IP所在地与手机号归属地是否匹配，如果不匹配则提示用户手动操作等。

5.服务器接口验证：

当用户登录成功后，返回一个由Token签名生成的秘钥信息(Token可使用base64编码和md5加密，可以放在请求的Header中)，然后对每次后续请求进行Token的封装生成，服务器端在验证是否一致来判断请求是否通过。

6.采用https：

线上的api接口开启https访问,这样做的话别人抓包的难度会提高很多，而且https需要秘钥交换，可以在一定程度上鉴别是否伪造IP。

7.服务器端代理请求：

针对于网站，这也是解决跨域的方案之一，采用服务器代理可以有效的防止接口真实地址的暴露。

8.其它：

当接口存在大量肉鸡攻击的时候，攻击者也同样容易暴露意图，我们可以通过系统分析算法，让攻击者获取不到有效数据，提高攻击成本。

总结：

安全问题一直都是与攻击者之间智斗勇的问题，没有一劳永逸的解决方法，只有不断交锋，不断成长....  

本文内容仅供个人学习、研究或参考使用，不构成任何形式的决策建议、专业指导或法律依据。未经授权，禁止任何单位或个人以商业售卖、虚假宣传、侵权传播等非学习研究目的使用本文内容。如需分享或转载，请保留原文来源信息，不得篡改、删减内容或侵犯相关权益。感谢您的理解与支持！

链接: https://fly63.com/article/detial/352