动态短信验证码安全防护方案

1、IP限定——根据自己的业务特点，设置每个IP每天的最大发送量(防止攻击者对服务器进行大量无效请求（在图片验证码未破解的情况下，自动化工具形成错误请求，增加服务器负担)

2、短信发送间隔设置——设置同一号码重复发送的时间间隔，一般设置为60-120秒(防止对单个用户形成手工攻击；防止图片验证码失效后对用户形成大量攻击。)

3、手机号码限定——根据业务特点，设置每个手机号码每天的最大发送量

4、流程限定——将手机短信验证和用户名密码设置分成两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验。

 5、绑定图型校验码——将图形校验码和手机验证码进行绑定，这样能比较有效的防止软件恶意注册(防止通过自动化工具进行攻击请求)

生成过程安全：图片验证码必须在服务器端进行产生与校验；

使用过程安全：单次有效，且以用户的验证请求为准；

验证码自身安全：不易被识别工具识别，能有效防止暴力破解；