Ali*_*xel 5 sms mobile-phones business-logic registration identification
我正在编写一个新网站,需要用户输入他们的手机号码,我面临的问题是我需要确保用户实际上是用户(或者在这种情况下,有权访问)手机号码.
我提出的解决方案是,在提交号码后,我向他们发送带有令牌的短信,并要求用户在我的网站上输入令牌,就像谷歌日历一样.然而,我的预算很短,我需要确保用户A不提交100,000个手机号码,如果发生这种情况,我将立即停业,因为每个短信发送的费用约为0.10美元.
到目前为止,我已经提出了以下解决方案:
这些解决方案都不是完美的,您如何建议我解决这个问题?
在最近的一个项目中,我们将SMS号码与用户帐户相关联.每个帐户都需要CAPTCHA和电子邮件激活.用户可以通过令牌激活SMS,就像您正在使用的那样.
您可以对IP地址进行速率限制(不是总限制).在5分钟内,IP不超过10个请求,或类似的东西.
和/或您可以限制未完成的短信请求.在IP地址请求用于SMS的令牌之后,必须在该IP可以请求另一个SMS号之前提交该令牌.或者每个IP每天不超过10个未完成的SMS令牌.
另外,就像@Alan说的那样,我们每个月对我们的短信设置上限.