Django短信验证码注册实现教程

本文详细讲解了在 Django 项目中安全、可靠地实现短信验证码注册功能的核心要点：强调必须使用阿里云新版 Python SDK（alibabacloud_dysmsapi20170525）而非已淘汰的旧版，严格遵循签名与模板审核、JSON 字符串化 template_param、RAM 子账号密钥管理等规范；重点指出 Redis 是验证码缓存的唯一合理选择，并深入剖析原子写入（SET ... NX EX）、一次消费（GET+DEL）、前缀隔离（如 sms:13800000000）和显式过期四大原则；同时给出 Django 中基于 django-redis 的生产级实践、校验逻辑陷阱规避（如校验后立即删缓存、手机号二次验证）以及三个极易被忽视却会导致线上故障的关键细节——配额限制、缓存命名空间缺失和 timeout 忘记设置，真正把“看似简单”的验证码功能做稳、做准、做可运维。

怎么用 Python 调阿里云 SMS API 发短信验证码

阿里云短信服务（SMS）的 Python SDK 已支持新版 alibabacloud_darabonba_openapi 和 alibabacloud_cloudauth20201112 等依赖，但发验证码最常用的是 alibabacloud_dysmsapi20170525。别直接 pip install aliyun-python-sdk-dysmsapi —— 那是旧版，只兼容 Python 2.7 且不支持新版 AccessKey 签名机制。

正确做法是：

• 安装新版 SDK：pip install alibabacloud_dysmsapi20170525 alibabacloud_tea_openapi alibabacloud_tea_util
• 使用 SendSmsRequest 构造请求，access_key_id 和 access_key_secret 必须从阿里云 RAM 控制台生成（不能用主账号 AK！）
• SignName 和 TemplateCode 必须已在短信控制台“已审核通过”，否则返回 InvalidSignName.NotFound 或 InvalidTemplateCode.NotFound
• 模板变量如 {"code": "123456", "product": "MyApp"} 要转成 JSON 字符串传给 template_params 字段，不是 dict

示例关键片段：

from alibabacloud_dysmsapi20170525.client import Client
from alibabacloud_tea_openapi.models import Config
from alibabacloud_dysmsapi20170525.models import SendSmsRequest
config = Config(
access_key_id='YOUR_ACCESS_KEY_ID',
access_key_secret='YOUR_ACCESS_KEY_SECRET',
endpoint='https://dysmsapi.aliyuncs.com',
region_id='cn-hangzhou'
)
client = Client(config)
request = SendSmsRequest(
phone_numbers='13800138000',
sign_name='你的签名',
template_code='SMS_123456789',
template_param='{"code":"654321"}'  # 注意：必须是字符串，不是 dict
)
response = client.send_sms(request)

为什么注册时必须用 Redis 缓存验证码

不用 Redis，你只能把验证码塞进 session 或数据库——session 依赖客户端 Cookie，不可靠；数据库写太频繁会拖慢注册链路，还可能被刷。

Redis 是唯一合理选择，原因很实际：

• SET key value EX 300 NX 原子性写入 + 过期，天然防重放、防并发覆盖
• 单次验证只需 GET + DEL，毫秒级响应
• 可按手机号限流：INCR phone:13800138000:send_count + EXPIRE 控制 1 小时最多 5 次
• 别存明文密码式字段（如 user:123:code），用前缀隔离：sms:13800138000

在 Django 中，推荐用 django-redis 封装连接，而不是裸用 redis-py：

# settings.py
CACHES = {
    'default': {
        'BACKEND': 'django_redis.cache.RedisCache',
        'LOCATION': 'redis://127.0.0.1:6379/1',
        'OPTIONS': {'CLIENT_CLASS': 'django_redis.client.DefaultClient'}
    }
}

Django 视图里怎么安全校验短信验证码

校验不是简单比对字符串。重点在「一次性和时效性」，漏掉任一环节就等于开放注册入口。

• 先 cache.get('sms:13800138000')，如果为 None，直接返回「验证码已过期或不存在」
• 比对成功后必须立刻 cache.delete('sms:13800138000')，防止重复使用
• 别在 ORM create_user() 之前做校验——万一中间出错，用户没注册成功但验证码已失效，体验极差；应在校验通过后立即删缓存，再走注册逻辑
• 手机号格式要二次校验：^1[3-9]\d{9}$，别只信前端传来的 phone 字段

典型校验逻辑节选：

from django.core.cache import cache
def verify_sms_code(phone, input_code):
cache_key = f'sms:{phone}'
cached_code = cache.get(cache_key)
if not cached_code:
return False, '验证码已过期'
if cached_code != input_code:
return False, '验证码错误'
cache.delete(cache_key)  # 一次性消费
return True, 'OK'

容易被忽略的三个生产细节

上线前不检查这三点，大概率凌晨收告警。

• 阿里云短信配额默认每天 100 条，新账号还要实名认证+资质审核，开发环境务必用 TEST 模式或 mock 掉发送逻辑
• Redis 缓存键没加 namespace，比如直接用 set('13800138000', '123456')，容易和其它业务 key 冲突；统一加前缀，如 sms:、login:
• Django 的 cache.set() 默认不设过期时间，必须显式传 timeout=300（单位秒），否则验证码永不过期

短信验证码这事，难点从来不在调 API，而在于缓存生命周期管理、并发控制和错误反馈粒度——发出去的每条短信，都该有明确的状态归因。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。