安全:移动注册和短信验证代码

Question

我有一个REST，用户可以使用他们的移动客户端注册，并请求使用twilio来验证sms。REST是在heroku上设置的。

我主要担心的是，用户可以随心所欲地注册多少次，但这可能会使我在每条短信中花费不必要的钱。你怎么才能阻止这件事？总的来说，我对web服务相当陌生。heroku对此有保护吗？我必须对服务器做些什么吗？

谢谢

Answer 1

是的，服务器需要维护已验证和未验证数字的记录。一旦用户再次注册或注册，服务器将检查该号码是否已被验证，如果未被验证，则向twilio发出sms发送api调用。应该从服务器而不是从移动应用程序启动Twilio调用。如果您希望从移动客户端启动twilio调用，那么在注册应用程序时，服务器上的rest应该返回移动应用程序，如果号码被验证或没有验证，请在移动客户端上显示验证选项。