动态验证码

在登陆过程中，动态验证码也可以作为一种安全的验证方式。

一般更加常见的场景是：

（1）注册邮箱/手机号验真

（2）找回密码/修改密码安全验证

（3）验证码的快捷登录

原理

每次服务端生成一个 code，然后存储到服务器，比如 redis。

将 code 通过邮件/短信的方式发送给用户。

用户将收到的信息，对比验证。

为了保证安全性，code 被验证一次立刻失效，无论对错，避免暴力破解。

一般短信需要收取费用，为了避免恶意用户暴力调用接口，一般和图形验证码结合使用，且限制 60S 只能发送一次，且有固定的发送次数。

这些限制，可以单独放在风控规则中统一限制。

这种方式相对而言比较安全。

每次验证码都是随机的，而且都是一次有效，安全系数比较高。就算是 4 位纯数字，也问题不大。

这种一般短信都需要一定的费用。

而且短信隶属于三大运营商，我们的信息通过各种渠道发送，有时候价格低的很可能会暴露用户信息。

每一家公司都有保护用户隐私安全的义务，只可惜现实中很多用户的隐私安全依然无法保证。

对于一个国家，需要推行相应的法律合规。

对于一家公司，需要架构，安全部门，产研测的共同努力。

对于一位用户，我们也要有保护自己信息安全的意识。

希望本文对你有所帮助，如果喜欢，欢迎点赞收藏转发一波。

我是老马，期待与你的下次重逢。

无