php实现手机验证码

PHP实现手机验证码功能

发送手机验证码是许多网站和应用程序中常见的功能，用于验证用户身份。以下是实现手机验证码功能的详细方法。

生成随机验证码

使用PHP的rand()函数或random_int()函数生成随机数字验证码。通常验证码为4-6位数字。

$verificationCode = str_pad(random_int(0, 999999), 6, '0', STR_PAD_LEFT);

存储验证码

将生成的验证码与用户手机号关联存储，可以使用Session、数据库或缓存系统（如Redis）。

$_SESSION['phone_verification_code'] = $verificationCode;
$_SESSION['phone_verification_expire'] = time() + 300; // 5分钟有效期

选择短信服务提供商

需要选择可靠的短信服务提供商（如阿里云短信、腾讯云短信、云片等），注册账号并获取API密钥。

发送短信验证码

使用短信服务提供商的API发送验证码。以下是使用cURL发送请求的示例：

$apiKey = 'your_api_key';
$phoneNumber = '13800138000';
$message = "您的验证码是：{$verificationCode}，5分钟内有效";

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://sms.provider.com/api/send');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query([
    'apikey' => $apiKey,
    'mobile' => $phoneNumber,
    'text' => $message
]));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);

验证用户输入的验证码

用户提交验证码后，与存储的验证码进行比对，并检查是否过期。

if ($_POST['user_code'] == $_SESSION['phone_verification_code'] 
    && time() < $_SESSION['phone_verification_expire']) {
    // 验证成功
} else {
    // 验证失败
}

安全注意事项

验证码应有有效期限制，通常5-10分钟。限制同一手机号发送频率，防止短信轰炸。生产环境建议使用专业短信服务而非免费API，确保送达率。

使用第三方SDK

许多短信服务商提供PHP SDK，简化集成过程。例如阿里云短信SDK：

require_once '/path/to/aliyun-php-sdk-core/Config.php';
use Dysmsapi\Request\V20170525 as Dysmsapi;

$client = new DefaultAcsClient($config);
$request = new Dysmsapi\SendSmsRequest();
$request->setPhoneNumbers("13800138000");
$request->setSignName("签名");
$request->setTemplateCode("模板ID");
$request->setTemplateParam(json_encode(array("code"=>$verificationCode)));
$response = $client->getAcsResponse($request);

完整实现流程

1. 用户请求发送验证码，提供手机号
2. 服务器生成随机验证码并存储
3. 调用短信API发送验证码到用户手机
4. 用户收到短信后输入验证码提交
5. 服务器验证用户输入与存储的验证码是否匹配
6. 根据验证结果允许或拒绝用户操作

通过以上步骤可以实现基本的手机验证码功能。根据具体业务需求，可以增加图形验证码前置验证、IP限制等安全措施。