为什么我一开始就对“短信验证码”保持高度警惕

我对短信验证码的警惕，并不是来自安全书籍、行业文章，或者所谓的“最佳实践”。

而是来自几次真实发生过的事故。

在之前的公司里，短信验证码接口曾经被攻击过几次。攻击方式并不复杂，没有入侵服务器，也没有利用系统漏洞，只是对一个正常可用的短信验证码接口进行了持续调用。

一整夜。

第二天看到短信服务商账单的时候，损失已经是好几万。

那一刻我才真正意识到一个被长期低估的问题：
短信验证码，并不是一个普通的业务接口，而是一个极其危险的系统入口。

短信验证码，为什么天生就是“高风险接口”

如果只从功能角度看，短信验证码很简单：

• 用户输入手机号
• 系统发送验证码
• 用户填写验证码完成校验

但从工程和系统视角看，它同时具备多个高危特征。

1. 它几乎一定是“公网暴露”的

短信验证码通常用于：

• 注册
• 登录
• 找回密码
• 绑定手机号

这些场景的共同点是：
用户在调用它之前，系统无法确认用户身份。

这意味着：

• 无登录态
• 无权限体系
• 无用户可信度

本质上，这是一个必须对陌生请求开放的接口。

2. 它是“调用成本极低，但系统成本真实存在”的接口

对请求方来说：

• 构造一次 HTTP 请求，成本几乎为零
• 可以自动化
• 可以分布式
• 可以持续调用

对系统来说：