最近做了手机号登录系统功能,本来以为是很简单的功能,只是发送短信验证码,然后登录就行了,结果现在做完后发现小细节还是非常多的,这里小小总结一下。
总的登录流程小结:
- 输入手机号,然后点击获取验证码,弹出图片验证码,图片验证码输入成功,发送验证码短信
- 接受到短信后,输入验证码,再次输入下面的图片验证码,登录,等待服务器验证结果,登录成功。
相关注意事项:
- 获取短信验证码的时候,需要图片验证码,防止短信爆破
- 短信每个IP每分钟发送1次,每天最多20次,防止频繁发短信,毕竟发短信是要花钱的
- 验证短信验证的时候,必须还要有图片验证码,一是为了防止爆破,二是某些机构或部分强制要登录的时候有。
- 登录时候当5次验证短信密码不正确,锁定5分钟,10次不正确的,锁定1天,防止有人用所有验证码爆破。因为短信验证码就4位,不到1万次请求就能猜对了,简单几句代码就能很快破解了。
- 每次获取图片验证码都要带4位随机数字,用于对应图片上的验证码,每次需要随机数和验证码都要传到后台验证,因为某些学校或公司的防火墙会自动把验证码获取多次,造成页面显示的验证码和系统存在最新的验证码不是一个。
- 手机号和验证码使用公钥加密,后台使用私钥解密,这个对于短信登录不是必要的,但是如果是账户密码登录就是必要的了