手机短信码使用流程

手机短信码使用流程

手机验证码容易被人恶意使用，为了防止短信验证码被恶意使用，使用者应该尽量按照下面的步骤，加上图形验证码

1.       后台生成图形验证码和S值

2.       用户将手机号+图形验证码+S值送往后台，如果S值+图形验证码通过验证，则发送短信验证码，并生成K值，作为下一步的凭证。

3.       用户收到短信码后，使用短信验证码+K值送入服务器，对短信验证码进行验证。验证通过后将K值设置为1，表示短信验证通过。

4.       客户端将具体的业务请求参数+K值送回服务器，服务器检查K值对应的值是否为1，如果为1，再进行具体的业务逻辑处理，否则返回短信验证码错误。

 

 

为了更方便地使用短信验证码，API组可以提供一组通用的API。应用者只需要关注步骤四即可。

接口

所有的接口成功均返回：

{“data”: {根据具体业务逻辑而定}，”success”:1}

如果失败，均返回：

{“error” : {“code”:xxx, “message”:”error detail messages”}, “success”:0}

下面接口定义时的返回值仅对成功时data部分进行定义

 

1.       生成图片验证码

接口：/pub/security/imgvcode/get

参数：无

返回值： imgvcode (图片验证码路径)、s（32位随机字符串）

               { 

“imgvcode”: " vcode/get?id=xxxx"

“s”:“xxxxxxxxxxxxxxxxxx”

}

处理逻辑：在后台生成图片验证码，将s_${s}->验证码+验证次数存储在redis中(有效期10分钟)

 

2.       发送手机验证码

接口：/pub/security/phonevcode/send

参数： s (步骤1的随机数)、imgvcode（用户输入的图形验证码）、phone（手机号）

返回值：k： 32位随机字符串

{ 

“k”:“xxxxxxxxxxxxxxxxxx”

}

处理逻辑：

Ø  检查图片验证码的验证是否超过调用限制次数（最多3次，超过后直接销毁s值）

Ø  检查s对应的imgvcode是否正确（验证用户输入的图形验证码是否正确）

Ø  检查手机号发送验证码是否超过调用限制次数（30分钟内最多3次）

Ø  给手机号phone发送短信验证码phonevcode，并更新redis中phonechk_{phone}对应的发送次数

Ø  生成一个32位的随机字符串k，将${k}->phone+phonevcode +是否验证通过+验证次数存储在redis中（有效期 2分钟）

 

3.       验证手机验证码

接口: /pub/security/phonevcode/verify

参数： k（步骤2中的随机数）， phonevcode(用户输入的手机验证码)

返回： k（步骤2中的k），ok（1表示短信验证码校验通过，0表示不通过）

{ 

“k”: " xxxxxxxxxxx"

“ok”:1

}

处理逻辑：

Ø  检查用户输入的手机验证码是否正确

Ø  检查相同k调用次数是否超过调用次数限制（最多3次，超出3次后销毁k）

Ø  更新k_${k}中${checked}字段为1，表示短信验证通过。

 

4.       具体业务逻辑接口

接口: /xxx/xxx/xxx

参数： k（步骤2中的随机数）、其它业务参数

返回：{ depends on your specific business }

处理逻辑：

Ø  检查k值是对应的{checked}字段是否为1，如果不为1，直接返回。

Ø  继续处理其他具体的业务逻辑。

数据字典

主要使用Redis，不使用数据。

 

Key

取值

有效期

备注

s_${s}

${imgvcode}\t${checktimes}

4位图形验证码+验证次数

10分钟

步骤1生成，步骤2使用

k_${k}

${phone}\t${phonevcode}\t${checked}

\t${checktimes}

手机号码+手机验证码+是否通过验证（通过验证为1，没有通过为0）+验证次数（最多验证3次）

10分钟

步骤2生成，步骤3使用，

步骤3修改，步骤4使用

phonechk_{phone}

${sendtimes}

手机号发送验证码的次数

30分钟

步骤2生成和使用