阿里雲メール認証コードAPIアクセス超詳細チュートリアル: 署名テンプレート審査からコードオンラインまで

国内のクラウドコンピューティングの「ビッグブラザー」として、阿里雲メールサービス (Dysmsapi) はチャネルの質が高く、秒級の配達、大合併で担えるため、ずっと第一線の研究開発チームの第一選択である。しかし、実際にアクセスする過程で、多くの初心者開発者やベテランは「署名、テンプレート、コンプライアンス審査」で頭を大きくし、コードがオンラインになった後もブラシができなかったため直接ハッキングされて口座の残高がはげた。

今日のこの文章は、私たちは公式文書の融通のきかない公文書のスピーチを徹底的に捨てましょう。私は完全に立っています

シニア後端設計者

の実技の視点は、あなたを「ゼロ資格申告」から「生産環境コードオンライン」に連れて行って、途中で雷を踏みやすい死穴がすべてあなたにはっきりして、5分であなたを徹底的に走らせます。

第1段階: コンソールの「非技術コンプライアンス戦」 (署名とテンプレート審査)

急いでコードを書くな! 阿里雲メールサービスは国に厳しく監督されており、最初のステップはコンソールで

資格、署名、テンプレート

この3つのことはうまくいきます。これは通過率が最も高く、最も時間を節約する標準的な順序です

1.資格申請: 個人ですか、企業ですか

阿里雲メールコンソールに入ると、最初のステップは「資質」を作ることです。

個人資格: あなた個人の実名認証情報を結びつけるだけです。個人の資質は現在制限が多く、認証コードと一部の通知メールしか送ることができない。

企業資格: 企業の三証一体型営業許可証のコピーをアップロードする必要がある。正規のビジネスプロジェクトをしている場合は、必ず企業の資質を使わなければならない。そのメールの通過率が高く、風制御傍受を起こしにくいからだ。

2.署名申請: それらの敏感な言葉を避ける

署名はメールの冒頭です。

【あの四つの字】

、あなたの企業またはブランドの身分を表します。

避坑大募集: 署名の名称はあなたの会社の略称、サイト登録名、App名、または登録商標と完全に一致しなければならない。客先に代わって開発する場合は、客先に印鑑を押す「授権依頼書」を発行させなければならない。

申請理由には、あなたのサイトドメイン名やAppの応用店でのスクリーンショットを直接貼り付けて、空論を書かないで、兄が実際のハンマーの証拠を見たことを審査して、通常30分以内に秒が過ぎます。

3.テンプレート申請: 融通がきかないほどやりやすい

テンプレートはメールの具体的な内容で、認証コードはプレースホルダーを使用します

{Code}

代わりに。

間違った模範: 【某科学技術】わぁ、古い鉄が来た! あなたの登録認証コードは ${code} です。早く神秘的な旅を始めましょう (マーケティングや嫌がらせメールと判定されて却下されやすい)。

標準モデル: 【某科技】あなたの登録認証コードは :{ {code} です。5分以内に入力してください。認証コードを他人に漏らさないでください。

テンプレートタイプは「認証コード」を選択し、「メール通知」や「メールの普及」を選択しないで、認証コードチャネルの重みと到着率が最も高い。

第二段階: 5分間のスピードコードのドッキング (Pythonを例にとると)

コンソールで手に入れたら

AccessKey ID

、

AccessKeyシークレット

、

署名名

そして

テンプレートCode (SMS_20261234など)

その後、正式に技術の着工段階に入ることができます。

ここでは、阿里雲2026年に最新推奨されたV2.0アップグレード版SDKを使用しています。私たちは最も優雅な

Python 3非同期同時呼び出し

例:

1.コア依存をインストールする

仮想環境で直接実行します

バッシュ

Pipインストルメンタルacloud_dysmsapi2017525 = = 3.0.0

2.コアバックエンド発送サービスの実現 (開梱後すぐ)

パイソン

インポートos

インポートランダム

From alibaba acloud_dysmsapi2017525.client import Client as dysmsapi2017525client

From acloud_tea_openapi import model as open_api_model

From alibaba acloud_dysmsapi2017525 import model as dysmsapi_2017525_model

Class AliSmsService:

Def _ _ init _ _ (セルフ):

#1.環境変数から鍵を読み取る (コードにハードコードしないで!) を参照してください

config = open_api_models. 設定(

access_key_id=os.environ.get('ALIBABA_CLOUD_ACCESS_KEY_ID'),

access_key_secret=os.environ.get('ALIBABA_CLOUD_ACCESS_KEY_SECRET')

）

#2.アクセスしたドメイン名、国内メールはこれを固定する

config.endpoint = 'dysmsapi.aliyuncs.com'

セルフ.client = dysmsapi2017525client (config)

Defsend_verify_code (セルフ,phone: str) -> tuple[bool, str]:

#3.ローカルで6桁のデジタル認証コードを生成する

Verify_code = str(random.randint(100000, 999999))

#4.Alibaba cloudの構築に必要な標準リクエストパラメータ

Send_sms_request = dysmsapi_2017525_model.Sendsmsrequest (

Phone_numbers = phone,

Sign_name = 'あなたの正規署名' 、 # はコンソール監査通過の署名に置き換えられます

Template_code = 'sms _ 20261234', # はコンソール監査通過のテンプレートIDに置き換えます

Template_param = f'{{"code":"{verify_code}"}}'# 厳密なJSON文字列

）

試してみる:

#5.インターネット発注要求を開始する

Response = セルフ.client.send_sms(send_sms_request)

#6.阿里雲ゲートウェイの帰還状態を判断する

レスポンス本文のコードが「OK」であれば

Print (f "[成功] 認証コード {verify_code} が携帯電話に届いた: {phone}")

# 【生産は必須】ここでverify_codeをRedisに書き込み、5分間の有効期限を設定します

# Redis_client.Setex (f "sms_code:{phone}", 300, verify_code)

Returtrue,verify_code

それ以外:

Print (f "[失敗] 阿里雲ゲートウェイ拒否: {response.body.message}")

Returfalse,response.body.message

e

Xcept Exception as error:

Print (f "[異常] インターフェース呼出ネットワークジッター: {str(error)}")

Returfalse,str(error)

# テストの呼び出し

# Sms = AliSmsService()

# Sms.send_verify_code("13800138000")

第三段階: オンライン生産環境の「三大防爆雷死線」

コードは走ることができ、せいぜい30% の仕事しか完成していない。メール認証コードのインターフェイスは、全ネットハッカー、メール爆撃機の黒産が最も好きな肉鶏資源である。もしあなたが直接上記のインターフェースを暴露すると、一晩に数万元の残高が他人の無料燃料になる。

システムがオンラインになる前に、バックエンドのコードにこの3つのゲートを構築しなければなりません

ゲート1: 前置図形/行為認証コード (99% 自動化スクリプトをブロック)

ユーザーが「認証コードを取得」をクリックすると、阿里雲のAPIを直接呼び出すことは絶対に許されない。

標準アーキテクチャ: ユーザーが送信をクリックする前に、スマートスライダーやパズルの動作検証 (阿里雲の「認証コード2.0」やCloudflare Turnstileなど) をポップアップする必要があります。

フロントエンドがスライドを完了すると、validate _ Tokenが取得され、バックエンドはこのTokenを受け取って合法を検証した後、メールインタフェースを呼び出すことができます。このステップは、Pythonスクリプトを書いて自動爆撃を行うすべてのハッカーを直接ドアの外に止めることができる。

ゲート2: Redis分散周波数制限ロック (高周波爆破防止)

阿里雲APIを呼び出す前に、Redisを介して多次元制限を行う必要があります

シングル携帯電話番号制限: sms_lock:{phone} 設定は60秒で期限切れになります。同じ携帯電話番号は60秒以内に一度しか注文できません。

単一クライアントIP制限: 同じエクストラネットIPを制限するには、1日に最大10回の認証コードしか要求できません。ハッカーが何万もの異なる携帯電話番号で順番にインターフェイスを磨くのを防ぐ。

当日の総量制限: システム総送信しきい値を設定します。例えば、あなたの会社は普段、1日に1000件のメールだけで、毎日の全体的な上限を5000件に設定しています。いったんブラシされると、システムは5000本の自動溶断になって発注しなくなり、最大の財務損失をロックした。

水門三: 検証コードの検証の「使い捨て原則」

ユーザーがフロントエンドで認証コードを入力して登録を提出する場合、バックエンドの認証ロジックは次のようになります

Redisから正しい認証コードを読み出して照合する。

照合結果が正しいか間違っているかにかかわらず、すぐにRedisでこの認証コードを削除する (または最大3回間違った後に廃棄することを許可する)。

原因: 認証コードが一度削除されなければ、ハッカーは同時爆破スクリプトを利用して、5分の有効期間内に、高周波要求で0から

00000が999999にぶつかった。認証コードは「使い捨て生物」でなければならず、使用するとすぐに死ぬ。

まとめ

阿里雲メール認証コードにアクセスして、技術コードの作成は非常に簡単で (SDKは完全にカプセル化されている) 、本当の工夫はコードの外にある

コンソール監査時に資料のコンプライアンスの整合性を重視し、コード導入時にRedis制限とマンマシン検証の厳密性を重視する。

この数歩をしっかり踏んで、あなたの登録検証システムは大工場級の発行速度と鉄壁のような防御能力を持っている。