短信接口被刷爆：我用Nginx临时止血

这个App已经稳定运行了两年左右，程序 bug 的可能性比较小。我们怀疑是短信平台信息泄露，或者接口被恶意程序利用。我上服务器看了下，他们部署非常简单：前端用 Nginx 直接代理后端 Java 服务。打开 Nginx 日志发现有人以每秒3-6次的频率请求获取短信验证码的URL。并且接口调用未做二次验证，这就等于把“发验证码”的权限完全开放了。哎！机会就这样留给了别有用心的人。