我們公司的前端註冊的時候需要接收驗證碼來檢驗使用者身份，因此需要呼叫第三方公司的簡訊服務。前一段時間，簡訊服務商告訴我們，我們的服務被攻擊了，瘋狂的傳送簡訊。不得已將被攻擊的那個應用先停了(反正那個應用訪問量也不大，不是我們現階段重點專案)。 這兩天有時間後，處理了這個問題。面對這個問題，首先想到的就是對使用者的ip進行限制，單一ip每24小時請求簡訊數量有一個上限，但是上線運行了一下，發現攻擊我們的服務還在跑著，不停的請求傳送簡訊。但是用ip的這種方法不合適，因為對方是用一個ip訪問請求幾個號碼後，ip就變了，有可能是用多臺肉機攻擊的，也有可能是用同一臺機器，請求幾次後，就斷開網路重新撥號，導致運營商重新為他分配了一個ip。總之這個方案不行。 換一個思路，加圖片驗證碼。嘗試了一下。從網上搜了一下程式碼，找到了生成png格式的程式碼，試了一下，沒有問題。只是需要轉成base64格式，返回給前端直接顯示。後來搜了一下，發現gif格式的圖片機器識別的難度更高。從網上找到現成的gif格式驗證碼生成程式碼，跑了一下，沒有問題。同樣轉成base64格式直接顯示在網頁上。這次的圖片包含6個字母或數字，同一時刻只能看到5個字母，但是6個字母迴圈顯示，使用者識別沒有問題，就採用這個方案了。機器識別的難度應該比較高了。如果還是被攻擊，那就加入漢字，或是加入算數題讓使用者輸入。 從網上看了一下，有一種滑動就可以識別機器操作的，貌似現在淘寶就採用的是這種方案。並且有專門的公司做這樣的產品，不過我們不想花錢買，如果以後有時間，可以自己研究一下。