Java案例如何校验短信验证码？

wen java案例 2026-06-09 18

Java案例：如何高效校验短信验证码？从原理到实战完整指南

目录导读

短信验证码校验的核心逻辑
常见校验方案对比：服务端校验 vs 客户端校验
Java实现短信验证码校验的完整步骤
- 1 生成验证码并存储（Redis/内存/数据库）
- 2 发送验证码（集成短信平台）
- 3 接收用户输入并校验
- 4 防刷机制与过期处理
实战案例：Spring Boot + Redis 实现短信验证码校验
常见问题与解决方案（QA）
总结与最佳实践

短信验证码校验的核心逻辑

短信验证码校验的核心是 “服务器端生成 → 用户接收 → 用户提交 → 服务端比对” 的闭环,校验的关键在于：

Java案例如何校验短信验证码？

验证码存储：生成后需安全存储，不可明文暴露。
时效性控制：通常有效期为5-10分钟。
一次性验证：校验成功后必须立即失效，防止重复使用。
防刷机制：限制同一手机号的发送频率（如60秒内只能发送一次）。

常见误区：不少开发者会将验证码存储在客户端（如Cookie或LocalStorage），这极易被篡改，必须坚持 服务端校验 原则。

常见校验方案对比

方案	存储位置	安全性	性能	适用场景
服务端内存校验	Java内存（如ConcurrentHashMap）	中等（重启丢失）	高	单机、低并发
服务端Redis校验	Redis（TTL自动过期）	高	高（分布式可用）	推荐：绝大多数场景
服务端数据库校验	MySQL等	高	低（磁盘IO）	高并发时需谨慎
客户端校验（不推荐）	前端/本地	极低	高	仅用于演示

生产环境应优先使用 Redis，利用其expire机制自动处理过期,且天然支持分布式部署。

Java实现短信验证码校验的完整步骤

1 生成验证码并存储（以Redis为例）

// 生成6位数字验证码
String code = String.format("%06d", new Random().nextInt(999999));
// 存储到Redis：key="sms:verify:13800138000"，value=code，过期时间=5分钟
redisTemplate.opsForValue().set("sms:" + phone, code, 5, TimeUnit.MINUTES);

2 发送验证码（集成第三方短信平台）

// 示例：使用阿里云短信SDK
SmsRequest request = new SmsRequest();
request.setPhoneNumbers(phone);
request.setTemplateCode("SMS_123456");
request.setTemplateParam("{\"code\":\"" + code + "\"}");
SendSmsResponse response = smsClient.sendSms(request);

3 接收用户输入并校验

@PostMapping("/verify")
public ApiResult verify(@RequestParam String phone, @RequestParam String inputCode) {
    String cacheCode = redisTemplate.opsForValue().get("sms:" + phone);
    if (cacheCode == null) {
        return ApiResult.error("验证码已过期，请重新获取");
    }
    if (!cacheCode.equals(inputCode)) {
        return ApiResult.error("验证码错误");
    }
    // 校验成功：立即删除Redis密钥，防止二次使用
    redisTemplate.delete("sms:" + phone);
    return ApiResult.ok("校验成功");
}

4 防刷机制与过期处理

发送频率限制：在发送前检查Redis中是否存在“sms:limit:手机号”，若存在则拒绝。

String limitKey = "sms:limit:" + phone;
if (redisTemplate.hasKey(limitKey)) {
    throw new RuntimeException("请60秒后再试");
}
redisTemplate.opsForValue().set(limitKey, "1", 60, TimeUnit.SECONDS);

无效过期清理：Redis的TTL自动处理,无需额外代码。

实战案例：Spring Boot + Redis 完整实现

依赖（pom.xml）

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

核心代码

@RestController
@RequestMapping("/sms")
public class SmsController {
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    // 1. 发送验证码
    @PostMapping("/send")
    public ApiResult send(@RequestParam String phone) {
        // 防刷检查
        String limitKey = "sms:limit:" + phone;
        if (Boolean.TRUE.equals(redisTemplate.hasKey(limitKey))) {
            return ApiResult.error("发送过于频繁，请稍后再试");
        }
        // 生成验证码（6位）
        String code = String.format("%06d", (int)((Math.random() * 9 + 1) * 100000));
        // 存储验证码，5分钟过期
        redisTemplate.opsForValue().set("sms:code:" + phone, code, 5, TimeUnit.MINUTES);
        // 设置发送限制，60秒过期
        redisTemplate.opsForValue().set(limitKey, "1", 60, TimeUnit.SECONDS);
        // 调用短信平台发送（伪代码）
        sendSms(phone, "您的验证码是：" + code);
        return ApiResult.ok("发送成功");
    }
    // 2. 校验验证码
    @PostMapping("/verify")
    public ApiResult verify(@RequestParam String phone, @RequestParam String inputCode) {
        String key = "sms:code:" + phone;
        String savedCode = redisTemplate.opsForValue().get(key);
        if (savedCode == null) {
            return ApiResult.error("验证码已过期，请重新获取");
        }
        if (!savedCode.equals(inputCode)) {
            return ApiResult.error("验证码错误");
        }
        // 校验成功后立即删除
        redisTemplate.delete(key);
        return ApiResult.ok("验证成功");
    }
}