如何保证短信验证码 API 接口的安全性,SUBMAIL 赛邮短信平台是这样做的:
1.网络防护全站采⽤先进的 HTTPS 和 SSL/TLS 安全加密传输协议(包含网站、API、以及内网传输),层层加密,确保用户使用时的安全与稳定。
2.系统防护通过 IP 白名单、黑名单过滤、接入保护、密钥管理、补丁升级、漏洞防护、多账户管理等多维度解决方案来防护。
IP 白名单
设置 IP 白名单,保护您的 App ID 不被非法劫持后滥用。前往 SUBMAIL -> 短信 -> 创建/管理 APPID 页面,设置 IP 白名单。
黑名单过滤
黑名单过滤功能可以有效地防止您的短信 API 被滥用。
3.安全设置用户通过 SUBMAIL 可自主设置模板每日请求限制、App ID 每日请求限制、号码每日请求限制、频率控制等,来保护用户接口安全,有效防止被刷的风险。
模板每日请求限制
设置验证码模板的单日请求上限,设置一个合适的数值,这样每个手机号码单日超过这个上限的数量的验证码请求会被 SUBMAIL 直接过滤。
号码每日请求限制
用户请求验证码时,记录请求的 IP 和手机号码,并对发送频率做限制,例如每分钟/单个 IP/单个手机号仅能请求一次。如果脚本无法获取用户的真实 IP,请直接过滤这类请求。
4.SUBHOOK 实时状态回调SUBHOOK 是 API 事件推送通知接口,实时推送事件动态。
SUBHOOK 类似于一个 API 端口,但不同的是,开发者不需要请求 SUBHOOK API,而是设置一个或多个回调 URL,来接收 SUBHOOK 推送的通知。SUBHOOK 推送事件通知时,采用 HTTP POST 方式,请在脚本中接收 POST 数据。
5.SUBMAIL 主动防御机制上面这些措施已经可以严密保证接口安全,为了确保万无一失,SUBMAIL 为短信验证码接口植入了主动防御机制,提供了更强大的保护措施。
SUBMAIL 主动防御机制会在以下 3 种情况中被触发:
1:空号率触发安全机制:当用户请求发送的手机号码空号率达到一定的百分比之后,触发防御机制;
2:手机号码高频率请求触发安全机制:当单个手机号高频率的请求验证码时,到达一定比例,触发防御机制;
3:历史黑名单命中率触发安全机制:当命中历史黑名单到达一定比例时,触发防御机制。
SUBMAIL 主动防御机制被触发后,将会自动设置合适的安全级别,防御恶意请求。例如非常请求仅能获取 3 次验证码,如超过 3 次,将会被列入临时保护黑名单。
除了以上方式之外,在云通信、运营商、用户风控等方面 SUBMAIL 也建立了各种举措守护安全,多层级提高短信平台的安全性。
,
