使用短信验证码注意事项和防刷的方法

　　平日里，我们会收到来自银行，网站，客户端等等各个领域发来的短信验证码，看似不起眼的一串数字，有时不经意间，却决定着我们生活的方方面面。

　　对于网站来说，短信验证码可为其防止用户恶意注册，获得真实用户信息，对于用户来说，短信验证码不仅可以帮助我们实现注册，还能进行密码找回，支付验证等，然而，成也萧何败萧何，这一环节也是用户较为敏感的地带。

　　第一，留意短信拦截，许多手机中都具有骚扰短信拦截功能，它的存在可以协助咱们轻松屏蔽广告，推销等各种短信垃圾，不过拦截功能的负面效果也非常显著，为了提高拦截能力许多非白名单手机号发送的短信也会被拦截，这其间，短信验证码很可能中枪，未留意短信验证，就很有可能给正在偷盗你银行卡的窃贼一定的时间，同时收不到验证码也就无法起到预警的效果。

　　第二，谨防手机病毒，安卓手机病毒散布广泛且非常猖狂，而散播许多手机病毒的主要目的之一，就是拦截验证码并将其转发。

　　当黑客瞄准你的银行账户时，会使用短信找回密码功能，这个时候银行会发送短信验证码，而病毒则会在后台对验证码进行拦截并发送到指定手机上，从而盗取钱财。

　　短信验证码防刷的方法。

　　1.限制同设备，同IP，同手机号的发送次数。

　　2.在获取短信验证码操作之前采用点触验证或滑动验证，验证通过后再进行验证码接口请求。

　　3.检测IP所在地是否与手机号归属地匹配（获取请求的真实ip与手机号归属地，这个限制性太多，建议个别情况使用）。

　　4.先做预发送请求，后端返回校验串，前端js将所有信息再次编码送回，js记得混淆，前后验证通过后再请求验证码接口。

　　5.对于已被拉黑的手机号/ip/设备，同样提示发送成功，而后端不发出短信，可以做出标记，可以干扰攻击者。

　　6.对手机号码进行特定规则加密后生成签名，提交到后台，后台通过相同规则生成签名，比较两个签名相同后再进行短信发送。