如何防止短信盗刷和短信轰炸？

短信盗刷和短信轰炸是项目开发中必须要解决的问题之一，它的优先级不亚于 SQL 注入的问题，同时它也是面试中比较常见的一个经典面试题，今天我们就来看下，如何防止这个问题。

1.概念介绍

短信盗刷和短信轰炸的概念如下：

• 短信盗刷是指使用某种技术手段，伪造大量手机号调用业务系统，盗取并发送大量短信的问题。这样会导致短信系统欠费，不能正常发送短信，同时也给业务系统方，带来了一定的经济损失和不必要的麻烦。
• 短信轰炸是指攻击者利用某种技术手段，连续、大量地向目标手机号码发送短信，以达到骚扰、干扰或消耗目标用户的时间、流量与精力的目的。这种行为可能会对受害者造成骚扰、通信中断和手机电量消耗过快等问题。

2.解决方案

短信盗刷和短信轰炸属于一类问题，可以一起解决。但这类问题的解决，不能依靠某一种解决方案，而是多种解决方案共同作用，来预防此类问题的发生。

这类问题的综合解决方案有以下几个：

1. 添加图形验证码：用户发送短信前，需要先输入正确的图形验证码，或拖动验证码等验证，验证通过之后，才能正常发送短信验证码。因为图形验证码的破解难度非常大，所以就避免了自动发送短信程序的执行。
2. 添加 IP 限制：对请求 IP 的发送次数进行限制，避免短信盗刷和短信轰炸的问题。例如，每个 IP 每天只能发送 10 条短信。
3. 开启 IP 黑名单：限制某个 IP 短信发送功能，从而禁止自动发送短信程序的执行。
4. 限制发送频次：一个手机号不能一直不停的发送验证码（即使更换了多个 IP 也不行），设置一个手机号，每分钟内只能发送 1 次验证码；一小时之内，只能发送 5 次验证码；一天之内，只能发送 10 次验证码。
5. 开启短信提供商的防控和报警功能：几乎所有的短信提供商都提供了，异常短信的防控和提醒功能，开启这些保护措施，可以尽可能的避免短信盗刷的问题。

具体实现如下。

3.具体解决方案

3.1 添加图形验证码

图形验证码的执行流程如下：

1. 当用户点击“发送短信验证码”的时候，前端程序请求后端生成图形验证码，后端程序生成图形验证码的功能，可以借助 Hutool 框架来生成，它的核心实现代码如下：

@RequestMapping("/getcaptcha")
public AjaxResult getCaptcha(){
    // 1.生成验证码到本地
    // 定义图形验证码的长和宽
    LineCaptcha lineCaptcha = CaptchaUtil.createLineCaptcha(128, 50);
    String uuid = UUID.randomUUID().toString().replace("-","");
    // 图形验证码写出，可以写出到文件，也可以写出到流
    lineCaptcha.write(imagepath+uuid+".png");
    // url 地址
    String url = "/image/"+uuid+".png";
    // 将验证码存储到 redis
    redisTemplate.opsForValue().set(uuid,lineCaptcha.getCode());
    HashMap<String,String> result = new HashMap<>();
    result.put("codeurl",url);
    result.put("codekey",uuid);
    return AjaxResult.succ(result);
}

上述执行代码中有两个关键操作：第一，生成图形验证码，并返回给前端程序；第二，将此图形验证的标识（ID）和正确的验证码保存到 Redis，方便后续验证。

2. 前端用户拿到图形验证码之后，输入图形验证码，请求后端程序验证，并发送短信验证码。
3. 后端程序拿到（图形）验证码之后，先验证（图形）验证码的正确性.如果正确，则发送短信验证码，否则，将不执行后续流程并返回执行失败给前端，核心实现代码如下：

// redis 里面 key 对应的真实的验证码
String redisCodeValue = (String) redisTemplate.opsForValue().get(user.getCodeKey());
// 验证 redis 中的验证码和用户输入的验证码是否一致
if (!StringUtils.hasLength(redisCodeValue) || !redisCodeValue.equals(user.getCheckCode())) {
    // 验证码不正确
    return AjaxResult.fail(-1, "验证码错误");
}
// 清除 redis 中的验证码
redisTemplate.opsForValue().set(userInfoVO.getCodeKey(), "");
// 请求短信 API 发送短信业务......

3.2 添加 IP 限制

IP 限制可以在网关层 Spring Cloud Gateway 中实现，在 Gateway 中使用全局过滤器来完成 IP 限制，核心实现代码如下：

@Component
public class IpFilter implements GlobalFilter {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 获取请求 IP
        String ip = exchange.getRequest().getRemoteAddress().getAddress().getHostAddress();
        Long count = redisTemplate.opsForValue().increment(ip, 1); // 累加值
        if(count >= 20){ // 大于最大执行次数
            redisTemplate.opsForValue().decrement(ip, 1); // 变回原来的值
            // 终止执行
            response.setStatusCode(HttpStatus.METHOD_NOT_ALLOWED);
            return response.setComplete();
        }
        redisTemplate.expire(ip, 1, TimeUnit.DAYS); // 设置过期时间
        // 执行成功，继续执行后续流程
        return chain.filter(exchange);
    }
}

其中，访问次数使用 Redis 来存储。

3.3 开启 IP 黑名单

IP 黑名单可以在网管层面通过代码实现，也可以通过短信提供商提供的 IP 黑名单来实现。

例如，阿里云短信提供的 IP 黑名单机制，如下图所示：

通过以上设置之后，我们就可以将监控中有问题的 IP 设置为黑名单，此时 IP 黑名单中的 IP 就不能调用短信的发送功能了。

PS：网关层面实现 IP 黑名单，可以参考添加 IP 限制的代码进行改造。

3.4 限制验证码的发送频次

验证码的发送频次，可以通过网关或短信提供商来解决。

以阿里云短信为例，它可以针对每个手机号设置每分钟、每小时、每天的短信最大发送数，如下图所示：

当然，这个值也可以人为修改，但阿里云短信每天单个手机号最多支持发送 40 条短信。

3.5 开启短信提供商的防控和报警功能

短信提供商通常会提供防盗、防刷的机制。

例如，阿里短信它可以设置短信发送总量阈值报警、套餐余量提醒、每日/每月发送短信数量限制等功能，如下图所示：

课后思考

本文所描述的问题只是日常开发中遇到的问题之一，但是除了本文提供的问题之外，你还遇到了哪些记忆深刻的问题呢？你又是如何解决的呢？