一、核心应用场景
1. 用户身份验证场景
| 场景 | 用途 | 安全等级 |
|---|---|---|
| 用户注册 | 验证手机号真实性,防止虚假注册 | ⭐⭐⭐⭐⭐ |
| 登录认证 | 替代密码登录,或作为二次验证 | ⭐⭐⭐⭐⭐ |
| 密码重置 | 确认操作为本人,防止账户被盗 | ⭐⭐⭐⭐⭐ |
| 绑定/换绑手机 | 验证新手机号归属权 | ⭐⭐⭐⭐⭐ |
2. 敏感操作确认场景
| 场景 | 用途 | 示例 |
|---|---|---|
| 支付确认 | 大额转账、提现验证 | 银行APP、支付宝 |
| 重要信息修改 | 修改邮箱、实名信息 | 社交平台、金融APP |
| 设备授权 | 新设备登录确认 | 微信、QQ |
| 注销账户 | 防止误操作或恶意注销 | 各类服务平台 |
3. 营销与通知场景
活动验证:领取优惠券、参与抽奖
预约确认:医院挂号、餐厅订位
物流通知:快递签收验证码
二、系统架构设计
整体架构图
┌─────────────────────────────────────────────────────────────┐ │ 客户端 (Web/App/小程序) │ └───────────────────────────┬─────────────────────────────────┘ │ HTTPS ┌───────────────────────────▼─────────────────────────────────┐ │ API Gateway (限流/鉴权) │ └───────────────────────────┬─────────────────────────────────┘ │ ┌───────────────────┼───────────────────┐ ▼ ▼ ▼ ┌───────────────┐ ┌───────────────┐ ┌───────────────┐ │ 验证码服务 │ │ 用户服务 │ │ 风控服务 │ │ (核心逻辑) │ │ (用户信息) │ │ (防刷/限流) │ └───────┬───────┘ └───────────────┘ └───────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ 存储层 │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ Redis │ │ MySQL │ │ 消息队列 │ │ │ │ (验证码缓存) │ │ (发送记录) │ │ (异步发送) │ │ │ │ 过期时间:5min│ │ 持久化日志 │ │ 削峰填谷 │ │ │ └──────────────┘ └──────────────┘ └──────────────┘ │ └─────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────┐ │ 短信通道层 (多渠道容灾) │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ 阿里云短信 │ │ 腾讯云短信 │ │ 网易云信 │ │ 备用通道 │ │ │ │ 主力 │ │ 备用 │ │ 备用 │ │ 兜底 │ │ │ └──────────┘ └──────────┘ └──────────┘ └──────────┘ │ └─────────────────────────────────────────────────────────────┘三、核心代码实现
1. 验证码生成与存储服务
@Service @Slf4j public class SmsCodeService { @Autowired private StringRedisTemplate redisTemplate; @Autowired private SmsProviderRouter smsRouter; // Redis Key 前缀 private static final String CODE_KEY_PREFIX = "sms:code:"; private static final String LIMIT_KEY_PREFIX = "sms:limit:"; private static final String IP_LIMIT_PREFIX = "sms:ip:limit:"; // 配置参数 private static final int CODE_LENGTH = 6; private static final long CODE_EXPIRE_MINUTES = 5; private static final long SEND_INTERVAL_SECONDS = 60; private static final int DAILY_MAX_SEND = 10; private static final int IP_DAILY_MAX = 100; /** * 发送验证码(带完整风控) */ public SmsSendResult sendVerificationCode(SmsCodeRequest request) { String phone = request.getPhone(); String ip = request.getIp(); String scene = request.getScene(); // 场景:REGISTER/LOGIN/RESET_PASSWORD等 // 1. 基础参数校验 if (!PhoneUtil.isValid(phone)) { return SmsSendResult.fail("手机号格式错误"); } // 2. 频率限制检查 FrequencyCheckResult freqCheck = checkFrequencyLimit(phone, ip); if (!freqCheck.isAllowed()) { log.warn("频率限制触发, phone:{}, reason:{}", phone, freqCheck.getReason()); return SmsSendResult.fail(freqCheck.getReason()); } // 3. 生成验证码(数字,避免0O1I混淆) String code = RandomUtil.generateNumberCode(CODE_LENGTH); // 4. 存储到Redis(原子操作) String codeKey = CODE_KEY_PREFIX + scene + ":" + phone; boolean saved = saveCodeToRedis(codeKey, code); if (!saved) { return SmsSendResult.fail("系统繁忙,请稍后重试"); } // 5. 异步发送短信(削峰) String templateCode = getTemplateByScene(scene); smsRouter.sendAsync(phone, templateCode, Map.of("code", code)); // 6. 记录发送日志(异步) recordSendLog(phone, scene, ip); return SmsSendResult.success(maskPhone(phone)); } /** * 频率限制检查(多层防护) */ private FrequencyCheckResult checkFrequencyLimit(String phone, String ip) { String limitKey = LIMIT_KEY_PREFIX + phone; String ipLimitKey = IP_LIMIT_PREFIX + ip; // 检查:同一手机号60秒内是否发送过 Long ttl = redisTemplate.getExpire(limitKey); if (ttl != null && ttl > 0) { return FrequencyCheckResult.fail("请" + ttl + "秒后再试"); } // 检查:同一手机号当日发送次数 String dailyKey = limitKey + ":daily:" + LocalDate.now(); Long dailyCount = redisTemplate.opsForValue().increment(dailyKey); redisTemplate.expire(dailyKey, Duration.ofDays(1)); if (dailyCount > DAILY_MAX_SEND) { return FrequencyCheckResult.fail("今日发送次数已达上限"); } // 检查:同一IP当日发送次数 Long ipCount = redisTemplate.opsForValue().increment(ipLimitKey); redisTemplate.expire(ipLimitKey, Duration.ofDays(1)); if (ipCount > IP_DAILY_MAX) { log.warn("IP限流触发: {}", ip); return FrequencyCheckResult.fail("网络异常,请稍后重试"); } // 设置发送间隔锁 redisTemplate.opsForValue().set(limitKey, "1", SEND_INTERVAL_SECONDS, TimeUnit.SECONDS); return FrequencyCheckResult.allow(); } /** * 验证验证码(核心安全逻辑) */ public VerifyResult verifyCode(String phone, String scene, String inputCode) { String codeKey = CODE_KEY_PREFIX + scene + ":" + phone; // 获取存储的验证码 String storedCode = redisTemplate.opsForValue().get(codeKey); if (storedCode == null) { return VerifyResult.fail("验证码已过期,请重新获取"); } // 错误次数检查(防暴力破解) String failKey = codeKey + ":fail"; String failCount = redisTemplate.opsForValue().get(failKey); if (failCount != null && Integer.parseInt(failCount) >= 3) { redisTemplate.delete(codeKey); // 清除验证码 return VerifyResult.fail("错误次数过多,请重新获取验证码"); } // 验证码比对(常量时间比较,防时序攻击) if (!constantTimeEquals(storedCode, inputCode)) { redisTemplate.opsForValue().increment(failKey); redisTemplate.expire(failKey, CODE_EXPIRE_MINUTES, TimeUnit.MINUTES); return VerifyResult.fail("验证码错误"); } // 验证成功,立即删除(防止重用) redisTemplate.delete(codeKey); redisTemplate.delete(failKey); return VerifyResult.success(); } /** * 常量时间字符串比较(防时序攻击) */ private boolean constantTimeEquals(String a, String b) { if (a == null || b == null || a.length() != b.length()) { return false; } int result = 0; for (int i = 0; i < a.length(); i++) { result |= a.charAt(i) ^ b.charAt(i); } return result == 0; } }2. 多渠道短信路由(容灾设计)
@Component @Slf4j public class SmsProviderRouter { @Autowired private List<SmsProvider> providers; // 阿里云、腾讯云等实现 @Autowired private RabbitTemplate rabbitTemplate; private static final String SMS_QUEUE = "sms.send.queue"; /** * 异步发送(消息队列削峰) */ public void sendAsync(String phone, String templateCode, Map<String, String> params) { SmsMessage message = SmsMessage.builder() .phone(phone) .templateCode(templateCode) .params(params) .timestamp(System.currentTimeMillis()) .build(); rabbitTemplate.convertAndSend(SMS_QUEUE, message); } /** * 消费者:实际发送逻辑 */ @RabbitListener(queues = SMS_QUEUE, concurrency = "5-20") public void handleSend(SmsMessage message) { // 优先级排序:根据成功率、响应时间动态调整 List<SmsProvider> sortedProviders = providers.stream() .sorted(Comparator.comparingInt(SmsProvider::getPriority)) .collect(Collectors.toList()); for (SmsProvider provider : sortedProviders) { try { SendResult result = provider.send(message); if (result.isSuccess()) { log.info("短信发送成功, provider:{}, phone:{}", provider.getName(), maskPhone(message.getPhone())); return; } } catch (Exception e) { log.error("发送失败, provider:{}, error:{}", provider.getName(), e.getMessage()); // 自动切换到下一个通道 } } // 所有通道失败,记录告警 log.error("所有短信通道发送失败, phone:{}", maskPhone(message.getPhone())); // 可接入钉钉/企业微信告警 } } /** * 阿里云短信实现 */ @Component public class AliyunSmsProvider implements SmsProvider { @Autowired private IAcsClient acsClient; @Override public SendResult send(SmsMessage message) throws Exception { SendSmsRequest request = new SendSmsRequest(); request.setPhoneNumbers(message.getPhone()); request.setSignName("你的签名"); request.setTemplateCode(message.getTemplateCode()); request.setTemplateParam(JSON.toJSONString(message.getParams())); SendSmsResponse response = acsClient.getAcsResponse(request); return SendResult.builder() .success("OK".equals(response.getCode())) .code(response.getCode()) .message(response.getMessage()) .build(); } }3. 防刷与风控增强
@Component public class SmsRiskControlService { @Autowired private StringRedisTemplate redisTemplate; @Autowired private Ip2RegionSearcher ipSearcher; /** * 增强风控检查 */ public RiskCheckResult riskCheck(SmsCodeRequest request) { String phone = request.getPhone(); String ip = request.getIp(); String deviceId = request.getDeviceId(); // 1. 黑名单检查(手机号、IP、设备) if (isInBlacklist(phone, ip, deviceId)) { return RiskCheckResult.reject("操作受限,请联系客服"); } // 2. 虚拟运营商检测(170/171等号段) if (isVirtualOperator(phone)) { log.warn("虚拟运营商号段: {}", phone); // 可要求额外验证或限制发送 } // 3. IP地理位置异常检测 IpRegion region = ipSearcher.search(ip); if (isAbnormalRegion(region)) { log.warn("异常地区访问, ip:{}, region:{}", ip, region); } // 4. 设备指纹异常(模拟器、改机工具) if (isAbnormalDevice(deviceId)) { return RiskCheckResult.reject("请使用真实设备操作"); } // 5. 行为模式分析(同一设备多手机号) String deviceKey = "sms:device:" + deviceId; Long devicePhoneCount = redisTemplate.opsForSet().add(deviceKey, phone); redisTemplate.expire(deviceKey, Duration.ofDays(1)); if (devicePhoneCount > 5) { return RiskCheckResult.reject("操作频繁,请明日再试"); } return RiskCheckResult.pass(); } /** * 图形验证码前置校验(高风险场景) */ public boolean requireCaptcha(String phone, String ip) { // 当日发送超过3次,要求图形验证码 String dailyKey = "sms:limit:" + phone + ":daily:" + LocalDate.now(); String count = redisTemplate.opsForValue().get(dailyKey); if (count != null && Integer.parseInt(count) >= 3) { return true; } // 或IP异常时 return isAbnormalIp(ip); } }四、常见问题与解决方案
问题1:短信被恶意刷取(资费攻击)
现象:攻击者调用接口大量发送短信,导致巨额费用
解决方案:
| 层级 | 措施 | 实现 |
|---|---|---|
| 前端 | 图形验证码前置 | 发送前要求完成滑块/点选验证 |
| 网关 | IP限流 | Nginx/网关层限制单IP QPS |
| 业务 | 手机号频率限制 | 60秒间隔、日10条上限 |
| 业务 | 设备指纹绑定 | 同一设备限制绑定手机号数 |
| 金融 | 预付费控制 | 设置短信渠道日消费上限 |
// 接入图形验证码示例 @PostMapping("/send-code") public Result sendCode(@RequestBody @Validated SmsRequest request, @RequestHeader("X-Captcha-Token") String captchaToken) { // 验证图形验证码 if (!captchaService.verifyToken(captchaToken)) { return Result.fail("请完成安全验证"); } // 继续发送流程... }问题2:验证码被暴力破解
现象:攻击者遍历000000-999999尝试验证
防护:
// 1. 错误次数限制(见上文 verifyCode 方法) // 2. 验证码复杂度提升(6位数字+字母,但影响体验) // 3. 行为检测(验证速度过快则拦截) // 4. IP异常检测(同一IP多次错误则封禁)问题3:短信到达率低/延迟高
原因分析:
运营商屏蔽(关键词、黑名单)
通道拥堵(高峰期)
用户手机拦截
解决方案:
/** * 多渠道容灾 + 智能重试 */ public void sendWithRetry(String phone, String content) { int maxRetry = 3; for (int i = 0; i < maxRetry; i++) { SmsProvider provider = selectProvider(phone, i); // 根据手机号选通道 SendResult result = provider.send(phone, content); if (result.isSuccess()) { return; } // 记录失败原因,切换通道重试 log.warn("发送失败,切换通道重试, phone:{}, retry:{}", phone, i+1); sleep(100 * (i + 1)); // 指数退避 } // 最终失败,转语音验证码兜底 voiceCodeService.send(phone, content); }问题4:验证码被截获(中间人攻击)
风险场景:
伪基站拦截短信
手机木马读取短信
运营商内部泄露
防护策略:
// 1. 验证码+设备绑定(验证码只在当前设备有效) String deviceToken = generateDeviceToken(request); redisTemplate.opsForValue().set( "sms:device_bind:" + code, deviceToken, Duration.ofMinutes(5) ); // 验证时检查设备一致性 if (!deviceToken.equals(storedDeviceToken)) { return VerifyResult.fail("请在原设备上操作"); } // 2. 敏感操作叠加验证(短信+邮箱+人脸识别) // 3. 短验证码有效期(3-5分钟) // 4. 关键操作通知(发送邮件/App推送告知用户)问题5:用户体验与安全的平衡
| 场景 | 策略 | 说明 |
|---|---|---|
| 新用户注册 | 图形验证码+短信 | 防刷优先 |
| 老用户登录 | 智能判断(设备信任则跳过) | 便捷优先 |
| 支付确认 | 短信+指纹/人脸 | 安全优先 |
| 低频操作 | 邮件替代短信 | 成本优先 |
五、数据库设计
-- 短信发送记录表(分表/归档) CREATE TABLE sms_send_log ( id BIGINT PRIMARY KEY AUTO_INCREMENT, phone VARCHAR(20) NOT NULL COMMENT '手机号', scene VARCHAR(32) NOT NULL COMMENT '场景', template_code VARCHAR(64) COMMENT '模板CODE', content VARCHAR(500) COMMENT '发送内容', provider VARCHAR(32) COMMENT '通道商', status TINYINT COMMENT '0-发送中 1-成功 2-失败', error_msg VARCHAR(255) COMMENT '失败原因', send_time DATETIME COMMENT '发送时间', response_time INT COMMENT '响应时间ms', ip VARCHAR(64) COMMENT '请求IP', device_id VARCHAR(128) COMMENT '设备ID', INDEX idx_phone_time (phone, send_time), INDEX idx_time (send_time) ) ENGINE=InnoDB COMMENT='短信发送日志'; -- 验证码验证记录(短期保留) CREATE TABLE sms_verify_log ( id BIGINT PRIMARY KEY AUTO_INCREMENT, phone VARCHAR(20) NOT NULL, scene VARCHAR(32) NOT NULL, input_code VARCHAR(10) COMMENT '用户输入', result TINYINT COMMENT '0-成功 1-失败 2-过期', fail_reason VARCHAR(255), verify_time DATETIME, INDEX idx_phone (phone) ) ENGINE=InnoDB COMMENT='验证码验证记录';六、监控与告警
@Component public class SmsMetrics { // 发送成功率监控 @Timed(value = "sms.send.duration", description = "发送耗时") @Counted(value = "sms.send.total", description = "发送总数") public void recordSend(SendResult result) { if (!result.isSuccess()) { // 失败率超过5%告警 meterRegistry.counter("sms.send.fail", "code", result.getCode()).increment(); } } // 实时告警规则 // 1. 单分钟发送量超过10000条(异常流量) // 2. 成功率低于95%(通道故障) // 3. 平均响应时间超过3秒(通道拥堵) // 4. 单手机号1分钟内发送超过3次(疑似攻击) }总结:最佳实践清单
✅安全:验证码6位数字、5分钟过期、错误3次失效、防重放攻击
✅可靠:Redis集群存储、多渠道容灾、异步发送+消息队列
✅性能:接口响应<100ms、发送异步化、批量处理
✅成本:频率限制、图形验证码防刷、虚拟号段识别
✅体验:错误提示模糊化(不说"手机号不存在")、语音验证码兜底
