最近一個(gè)項(xiàng)目發(fā)現(xiàn)手機(jī)驗(yàn)證碼總是被人盜刷，一秒鐘刷了1百多個(gè)，很明顯這種行為是通過軟件自動(dòng)提交的，自動(dòng)發(fā)帖機(jī)原理類似，解決這個(gè)問題目前有兩個(gè)方案。

出現(xiàn)這個(gè)問題原因：請(qǐng)求手機(jī)驗(yàn)證碼Api時(shí)沒有任何帶任何驗(yàn)證，只要請(qǐng)求了手機(jī)號(hào)正確就執(zhí)行發(fā)送操作，軟件或代碼很容易偽造請(qǐng)求過程。

解決方案有很多種，可以選擇下面一種或幾種組合起來使用。

方案1：用戶獲取手機(jī)驗(yàn)證碼時(shí)候彈出圖片驗(yàn)證碼，輸入后再發(fā)送。

優(yōu)點(diǎn)：增加偽造請(qǐng)求成功的難度，必須輸入驗(yàn)證碼才可以發(fā)送，如果是軟件，軟件需要有圖片驗(yàn)證碼識(shí)別功能。

缺點(diǎn)：用戶體驗(yàn)不好，增加了普通用戶的操作步驟。

方案2：增加ip黑名單，即檢測(cè)請(qǐng)求ip的發(fā)送頻率，如同一個(gè)ip一分鐘內(nèi)請(qǐng)求多少次后屏蔽ip。

缺點(diǎn)：一些軟件有主動(dòng)更換ip的功能，這種方式效果不是很好。

方案3：加上token口令驗(yàn)證

在Api中增加口令驗(yàn)證，即每次請(qǐng)求必須帶上token，token驗(yàn)證正確了才執(zhí)行發(fā)送操作。

這個(gè)方案為了替代方案1，因?yàn)橛械墓緦?duì)前端體驗(yàn)要求極高，增加用戶操作步驟后用戶體驗(yàn)不好。

這里token可以放在數(shù)據(jù)庫(kù)中，也可以放在內(nèi)存中，個(gè)人建議放在內(nèi)存中，速度快，查詢快，至于冗余的問題，可以增加一個(gè)BuildDate來保存生成時(shí)間。

Token描述類

   public class TokenDescriptor
    {
        /// <summary>
        /// 客戶端唯一Id,必須保證唯一性
        /// </summary>
        public string ClientId { get; set; }
        /// <summary>
        /// token
        /// </summary>

        public string Token { get; set; }

        /// <summary>
        /// token生成日期
        /// </summary>
        public DateTime BuildDate { get; set; }
    }

token處理類

  public class TokenFactoryBLL
    {
        private string _ClientId;
        private static List<TokenDescriptor> _TokenList;

        static TokenFactoryBLL()
        {
            _TokenList = new List<TokenDescriptor>();
        }

        /// <summary>
        /// 
        /// </summary>
        /// <param name="httpRequestBase"></param>
        public TokenFactoryBLL(HttpRequestBase httpRequestBase)
        {
            _ClientId = StringHelper.ClientId(httpRequestBase);
            ClearExpired();
        }

        /// <summary>
        /// 可用于遠(yuǎn)程api
        /// </summary>
        /// <param name="clientId"></param>
        public TokenFactoryBLL(string clientId)
        {
            _ClientId = clientId;
            ClearExpired();
        }

        /// <summary>
        /// 生成口令
        /// </summary>
        public string Get()
        {
            if (string.IsNullOrEmpty(_ClientId))
            {
                return null;
            }
            string token = Guid.NewGuid().ToString("N");//guid;
            TokenDescriptor tokenDescriptor = new TokenDescriptor();
            tokenDescriptor.ClientId = _ClientId;
            tokenDescriptor.Token = StringHelper.NewGuid();
            tokenDescriptor.BuildDate = Convert.ToDateTime(DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));
            _TokenList.Add(tokenDescriptor);
            return token;
        }

        /// <summary>
        /// 驗(yàn)證token
        /// </summary>
        /// <param name="token"></param>
        /// <returns></returns>
        public TipsInfo Validate(string token)
        {
            TipsInfo tipsInfo = new TipsInfo();
            if (!_TokenList.Exists(c => c.ClientId.Equals(_ClientId, StringComparison.OrdinalIgnoreCase) && c.Token.Equals(token, StringComparison.OrdinalIgnoreCase)))
            {
                tipsInfo.State = 0;
                tipsInfo.Msg = "token口令驗(yàn)證失敗";
            }
            return tipsInfo;
        }

        /// <summary>
        /// 移除對(duì)應(yīng)客戶端的所有token
        /// </summary>
        /// <param name="clientId"></param>
        public void Remove()
        {
            _TokenList.RemoveAll(c => c.ClientId.Equals(_ClientId, StringComparison.OrdinalIgnoreCase));
        }


        /// <summary>
        /// 清理過期的token，過期時(shí)間10分鐘
        /// </summary>
        private static void ClearExpired()
        {
            for (var i = 0; i < _TokenList.Count; i++)
            {
                TokenDescriptor item = _TokenList[i];
                DateTime startTime = item.BuildDate;
                DateTime endTime = Convert.ToDateTime(DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));
                TimeSpan ts = endTime - startTime;
                int minutes = ts.Minutes;
                if (minutes>10)
                {
                    _TokenList.RemoveAt(i);
                }
            }
        }
    }

附上Helper工具類中clientId的方法：

        /// <summary>
        /// 獲取并生成客戶端唯一Id，保存在cookie中;
        /// </summary>
        /// <returns></returns>
        public static string ClientId(HttpRequestBase request) //獲取客戶端唯一Id
        {
            if (request == null)
            {
                return null;
            }
            string clientId = CookieHelper.Get("_clientId_");
            if (string.IsNullOrEmpty(clientId))
            {
                string guid = Guid.NewGuid().ToString("N");//guid
                string ip = StringHelper.GetClientIP().ToString().Replace(".", "").Replace(":", "");
                clientId = guid + ip;
                CookieHelper.Add("_clientId_", clientId);
            }
            return clientId;
        }

        /// <summary>
        /// 獲取客戶端ip
        /// </summary>
        /// <returns></returns>
        public static string GetClientIP()
        {
            if (System.Web.HttpContext.Current == null) return "127.0.0.1";
            string clientIp = System.Web.HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
            if (string.IsNullOrEmpty(clientIp))
            {
                clientIp = System.Web.HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
            }
            if (string.IsNullOrEmpty(clientIp))
            {
                clientIp = System.Web.HttpContext.Current.Request.UserHostAddress;
            }
            if (clientIp.IndexOf(",") > 0)
            {
                clientIp = clientIp.Split(',')[0];
            }
            if (!StringHelper.IsIp(clientIp))
            {
                clientIp = "127.0.0.1";
            }
            return clientIp;
        }

前端發(fā)送方式需要更改，在請(qǐng)求手機(jī)驗(yàn)證碼的api之前，先第一次請(qǐng)求獲取token，然后帶上token驗(yàn)證通過后后再請(qǐng)求api。

這個(gè)方案肯定沒有驗(yàn)證碼的防護(hù)效果好，只是增加了偽造請(qǐng)求的步驟，因?yàn)楝F(xiàn)在很多模擬請(qǐng)求的軟件都是一次性請(qǐng)求，所以還是能防護(hù)大部分的軟件。