登陆、注册、发送验证码安全问题

问题：

1. 登陆或注册使用手机号码+短信验证码登陆， 如果为4位验证码，那么会被模拟请求或者浏览器点击，轮询强制破解验证码
2. 发送短信验证码未加入验证， 会被恶意攻击，使用脚本或者工具，给不同的手机号码发送短信，可以无限制的发送短信验证码，
3. 无法判断用户是否在恶意攻击， 没有请求记录日志，只有在被攻击时才能发现

 

解决思路：

1.短信验证码为6位，增加恶意攻击难度

2.注册和登陆必须使用验证码，避免非人为操作

3.发送短信验证码加入 图片验证

4.限制IP

5.限流