短信API接口在web中得到越来越多的应用，如用户注册，登录，密码重置等业务模块都会使用手机验证码进行身份验证。一般情况下，我们会采用这样的安全策略，将短信发送频率限制在正常的业务流控范围内，比如，一个手机号一天最多下发10条短信，同时限制时效，验证次数。但这样的策略，攻击者通过遍历手机号，还是阻止不了短信资源被消耗的情况。

如何防止短信api接口遍历呢？

在平时浏览网站的时候，我会稍微留意一些网站是怎么做的，并记录了一些短信API接口防遍历的技术实现方式。

第一种方式：白名单

这是最简单的一种方式，但应用场景有限，比如，在一些内部应用系统（从HR系统或其他系统同步手机号过来验证），此时，只需要验证是否为内部员工手机号，如不是，直接提示非内部员工手机号；如是，再执行短信api流控策略。

第二种方式：验证码（推荐）

用户点击获取短信验证码的时候，弹出图形验证码进行验证，同时发送图形验证码和手机号码到后台验证。

当然，这种方式用户体验极差，每次都需要手动需要图片验证码才能发送手机验证码，于是，有了进一步的优化方案，从用户体验和安全角度出发，可设计为当用户输入3次错误手机验证码后自动弹出验证码。

还有另外一种方式，采用当下比较流行的滑块验证或点选验证方式，用户体验也会有所改善。

第三种方式：接口加密(不推荐)

前端与后台协商好加密方式，比如md5(timestamp+telphone+salt)，前台发起请求时，同时发送 timestamp、telephone、sign参数，后台接收这些参数，按照协商好的加密方式生成一个校验值与sign进行对比，如果错误，则不处理。另外，js代码混淆+短信api业务流控限制。

风险点：虽然做了代码混淆，但js加密算法一旦泄漏，并不是一种安全的措施，但也是一种比较容易实现的技术方案。

客户端ajax代码实现：

以上，是三种常见的预防短信api接口遍历的技术实现方案。

我自己是一名从事了多年开发的JAVA老程序员，辞职目前在做自己的java私人定制课程，今年年初我花了一个月整理了一份最适合2019年学习的java学习干货，可以送给每一位喜欢java的小伙伴，想要获取的可以关注我的头条号并在后台私信我：java，即可免费获取。

————————————————