手机上那些敏感操作验证用户是怎么来的？程序员来告诉你怎么解决！

验证用户的有效性或者安全性，是每个系统必备的安全措施，在移动端优先的时代，利用手机验证码来验证用户，算是安全系数比较高的手段。

放眼当下几乎所有的互联网应用几乎都开放了手机验证码登录，而且应用内的敏感操作都需要手机验证码或者指纹，甚至面部识别来确定当前操作人的权限。

抛开其他端，单就移动端App方式而言，如果用户频繁进行敏感操作，需要频繁发送验证码，其实在用户体验上并不友好，况且短信费用也随之增加。就App形式而言，验证一个用户的有效性其实可以演变为验证设备的有效性，即：当前人在当前设备上是否可信。

发送验证码操作最终的目的是为了验证操作人是操作人，听起来很绕是不是。实现这个最终目的，其实有很多解决方案，其中用户可信设备就属于其中一类,而手机验证码方式又是用户可信设备实现的一种方式，具体来说有几点：

1.用户利用手机验证码在这个设备上进行过敏感操作，就认为这个设备在一段时间内是可信任的。

2.用户在可信任的设备上进行其他敏感操作，如果在有效期内，就可以做到不发送验证码

3.用户的敏感操作也可以进行分级，最高敏感级必须输入验证码才可以进行操作（比如重置密码，验证码登陆），一般敏感级在可信设备有效期内可以不输入验证码。

基于以上所说，系统设计的时候就可以抽象出一个用户可信设备中心，包括敏感操作的定义，可信设备的有效时长，可信设备的定义（比如：验证码通过的设备可定义为有效设备）等等概念。通过这样设计，短信验证只不过成为验证用户信任设备的一种途径，完全可以做到和具体业务无关（敏感级别最高操作除外），一般敏感的操作业务接口也可以避免添加验证码参数，真正的把验证和业务相分离，岂不美哉？

经过这样抽象，用户可信设备中心其实本质的接口只有几个：

1.验证设备是否有效

2.设置设备有效

3.设备有效的途径（例如短信验证码方式）

当然你的系统首先要有设备的概念，如果非要写几行代码的话

1. 验证设备有效

2. 设置设备有效

public async Task SetUserDevice(UserDeviceReq para)

{

if (para == null || string.IsNullOrWhiteSpace(para.DeviceName) || para.UserId

{

return 0;

}

//检查签名

var sign = EncrypHelper.MD5Encrypt($"__");

if (sign != para.Sign)

{

return 0;

}

string key = $"_";

var cacheRet = await RedisClient.GetString(key);

if (string.IsNullOrWhiteSpace(cacheRet))

{

UserDeviceInfo value = new UserDeviceInfo() { UserId = para.UserId, DeviceName = para.DeviceName, OperationCode = para.OperationCode, CreateDate = DateTime.Now, Context = "" };

var userDeviceExp = SysConfig.GetAppSetting("Config:UserDeviceExpire");

if (string.IsNullOrWhiteSpace(userDeviceExp))

{

userDeviceExp = "300";

}

var authRet = await RedisClient.SetString(key, JsonConvert.SerializeObject(value), TimeSpan.FromMinutes(int.Parse(userDeviceExp)));

if (!authRet)

{

return 0;

}

}

return 1;

}

附：小编正在建设中的编程公众号【草莓味狸猫】，欢迎到访！