等過(guò)短信驗(yàn)證碼進(jìn)行身份驗(yàn)證是一個(gè)快速登錄網(wǎng)站的一種方式，因?yàn)槠浔憬菪越o現(xiàn)在的用戶們的生活帶來(lái)了許多的便利。但是也會(huì)有疑惑，這種方式是否真的安全呢？在使用的過(guò)程中會(huì)不會(huì)出現(xiàn)個(gè)人賬號(hào)信息泄露的風(fēng)險(xiǎn)。短信驗(yàn)證碼接口可能會(huì)遭受到一種互聯(lián)網(wǎng)惡意攻擊——“短信轟炸”。這種攻擊通過(guò)循環(huán)利用某些業(yè)務(wù)中的無(wú)需注冊(cè)或驗(yàn)證即可向任意手機(jī)號(hào)發(fā)送短信驗(yàn)證碼的正常業(yè)務(wù)需求（比如用戶注冊(cè)激活、登錄、密碼重置等），向固定手機(jī)號(hào)不停發(fā)送大量的驗(yàn)證短信，這種惡意行為不但對(duì)用戶造成了困擾，相關(guān)企業(yè)也要因此承擔(dān)不小的經(jīng)濟(jì)和名譽(yù)損失。短信轟炸基于網(wǎng)絡(luò)的方式，并且由兩個(gè)模塊組成，一個(gè)是前端的網(wǎng)頁(yè)界面，可以用于提供輸入被攻擊的手機(jī)號(hào)，另外一個(gè)后臺(tái)的攻擊頁(yè)面，利用從互聯(lián)網(wǎng)各網(wǎng)站上找到的短信驗(yàn)證碼URL，匹配前端輸入的被攻擊者手機(jī)號(hào)碼，同時(shí)發(fā)送HTTP請(qǐng)求，調(diào)用業(yè)務(wù)服務(wù)器短信發(fā)送的接口，請(qǐng)求給用戶發(fā)送一條短信驗(yàn)證碼，通過(guò)不停的發(fā)送請(qǐng)求來(lái)實(shí)施“短信轟炸”攻擊。其實(shí)只要明白，短信轟炸形成的原因并非本人授權(quán)獲得的動(dòng)態(tài)短信，入用戶注冊(cè)時(shí)手機(jī)驗(yàn)證短信，用戶獲取驗(yàn)證碼短信前與系統(tǒng)并沒(méi)有建立業(yè)務(wù)關(guān)聯(lián)。針對(duì)這種情況要更加嚴(yán)格的限制驗(yàn)證碼獲取短信的的業(yè)務(wù)使用的安全性。從技術(shù)的角度來(lái)說(shuō)我們?cè)黾覫P的請(qǐng)求次數(shù)限制，用戶請(qǐng)求時(shí)長(zhǎng)的限制，還有二次驗(yàn)證的過(guò)程，這樣可以有效的限制惡意請(qǐng)求的連續(xù)申請(qǐng)，從而保障驗(yàn)證碼短信接口的安全性。 次數(shù)用完API KEY 超過(guò)次數(shù)限制