短信验证码替代方案

微信推送？

邮件推送 otp

邮箱？

最优雅的是 passkey, 最现实的是微信。

绑定微信

小程序扫码快速验证手机号

集成几个主流的三方登陆呗

不用手机登录改微信或者邮箱登录

微信或者邮箱把

见过不少用微信推送二维码的做法了

oauth 登录

2FA 双重身份验证

微信推送吧。现在都是双推送。

现在短信管控真的特别严格。就算按规定修改了也经常 G

说实话我一直都有一个很疑惑的问题，为什么国内软件喜欢用短信登录，而国外短信喜欢用邮箱登录，真的是用户习惯不同吗？我认为更多的原因其实是国内实名认证的要求，但又不愿意明摆着认证引起用户反感，因此就都用绑定手机号的方式进行隐性认证

那么，手机号不能用之后，这个 "替代方案" 就必须除了认证身份的功能外，还要同时具有实名的功能，因此这就直接打死了邮箱和 2FA 等方案

坚果云用过吗？他们很多年前就开始用微信推送了

@wasaibi12345 #14
因为国内实名认证的要求
而普通公司又没有四要素银行卡这种金融级别验证的要求
网安给你发协查指令, 要你提供实名信息时候, 你给他个手机号让他们自己查去, 就行了

两步验证, PassKey , 第三方 oauth 微信 github google, APP 二维码扫码 ...

微信、邮箱

同样遇到开发票的短信，附开票链接和验证码被拦截，用户大部分不愿意关注微信公众号，邮箱就更别提了，对于货运司机不想操作那么复杂

@wasaibi12345 邮箱在境外多数地区具有法律效力，感觉和手机号实名认证是类似的

默认本机号码一键登录，然后用微信兜底

@YulChigga #19
开发票为啥要短信下发啊
税务局全电发票刚开始时候 对二开商都有个培训
短信下发填报这种方式那时候就是不建议方式
网站/app 类在线服务 建议是在线填写信息直接回来下载

线下经营场景, 建议是扫实体静态码填写信息返回交付码,或者水单上的包含信息的动态码自扫自开

使用公众号相关 sdk ，然后调用微信实时验证手机号码，微信会自己去发验证码的

最近短信确实不太稳定，有几个替代方案可以考虑：

邮件验证：虽然速度慢一点，但稳定性和覆盖面都不错。

移动 App 推送：如果有 App ，可以通过推送通知进行验证。

动态密钥 App：像谷歌身份验证器，只需扫描二维码即可生成动态密码。

WhatsApp 或微信验证：利用这些社交平台提供的 API 进行认证。

@FarmerChillax 你这个说法就有点扯了，你没用过境外邮箱还是你的境外邮箱实名认证了？匿名邮箱有什么法律效力？

@Tianao
@shenjinpeng

@Tianao
@shenjinpeng

passkey 在大部分国产 Android 机上无法使用，现在有改善了吗？

@wasaibi12345 #14 ，用户习惯确实是大头。在国内对于非互联网从业者来说邮箱就是一个极其不常用的东西。大众要的就是便利。
非国内环境中邮箱也是具有国内的手机号一样的作用。比如说在买卖或者租赁的时候作为通过邮箱来关联某一个现实中的人。在之后的交易中强关联在某一个商户上。
（当然可以随便写姓名和邮箱，但是也是有成本的，沉默的绝大多数并不一定愿意付出这个成本，只用一个或者两三个邮箱。所以也是为什么 iCloud 会提供隐藏邮件地址的服务）

那么回到历史的时间节点，排除实名认证这一强制性要求。如果要做忘记密码、账户验证找回之类的功能。你会如何选择方案路线，并且方案可以被普罗大众所接受，从各种方案中脱颖而出，成为行业默认的方案规则。

微信推送要求网站在国内备案，也是一个门槛吧

TG WhatsApp
噢境内 那算了

@raw0xff #27 哈哈，不好意思我不知道，因为我不是开发者，也没有国产安卓机。不过很感谢你作为开发者会考虑 passkey!

最不靠谱的就是微信推送，说难听点就是滥用，并且这玩意本身就不好用

@wasaibi12345 #14 国内用户没有使用邮箱的习惯，底层用户也不知道邮箱为何物，一提到邮箱就想到 qq 邮箱，继而联想到 qq 里能收到提示，可以打开看到信息的那种

要不试试新技术 WebAuthn ？

动态密钥 app 免费白嫖。

@Curtion 不说很多网站还没有提供支持,国内的安卓手机也支持的不好,反而 win11 和 iphone,mac 支持的还可以

当然是一键登录啊，能获取到手机号，程序都不用怎么改

题外话，短信管这么严，垃圾信息为啥还是那么疯狂

找第三方短信平台

小程序扫码登录，我之前做过。不收费。
公众号方式需要交钱验证。

还有两种：
1. 用 sms 转发器。需要自己挂一台能收短信的手机，用户发短信，你再转发到自己服务器。类似某些平台的账号找回。用户需要自己付短信费。

2. 有点不道德，且非法。调别的平台的登录服务，用户收到短信后，你再尝试登录该平台。能登录就过。

@cooltechbs 垃圾短信也可以签名通过，现在的严格只是签名审核严格

用邮箱，界面上给一个让用户填 qq 邮箱、去 qq 或者微信看验证码的强引导，这样应该普通用户也不至于收不到吧？

@skiy 而且第二点经常被拿来做轰死你之类的灰产。

为啥发个验证码也会失败，现在主要是短信签名的审核比较麻烦，三大运营商都得审批，审核过之后验证码相关的内容一般不会过滤啊

1. 标识用户。可以标识用户身份的方式，比如手机号、跟手机号绑定的账号、注册记录的邮箱等。

2. 发送方式。
- 系统主动发送。系统把验证码发送到指定用户的可靠方式。而且客户无感验证。
- 用户主动请求。把网站显示的验证码发送给验证系统。

那么就是几种方式了：

- 手机号 + 发短信，能收到短信等于验证通过。
- 邮箱 + 发邮件。
- 社交账号 + 发消息。
- 各种用户账号 + 扫二维码。这里一般使用能验证身份的社交软件去扫。

@llxvs 可以参考 GDPR： https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

@Tianao 为什么感谢作为开发者会考虑 passkey ？

我觉得国家在强推这个 https://cdnrefresh.ctdidcii.cn/w1/WHClient_H5/Install/InstallGuide.html
短信邮箱或者其他的以后都会逐渐限制乃至于根本不能商用，最多个人使用一下

弹小程序上快速获取手机号

@raw0xff #47 因为我觉得这是一条在安全工程、系统工程和人因工程上都无比正确但在商用推广上道阻且长的路。

多谢各位的回复，考虑各种因素，目前还真没一种办法可以完美替代短信验证码。

前阵子公司业务需要用越南的一款 APP：Zalo ，像素级模仿微信的那种。 他们的短信登录方案是告诉你一段很长的字母+数字的验证码，你发给它们指定的手机号。

@zhonghao01 古早的验证方案，，，其实腾讯以前也这么验证，很大概率会丢失客户，也就腾讯敢这么持续的做

@hi2hi 腾讯现在也还有业务这样用，QQ 邮箱生成那个什么 CODE 需要你主动发送短信过去。

刷脸认证？

@wasaibi12345 因为手机号人人都有,邮箱的话直接就等于拒绝了一大批没邮箱不咋上网的老年中年用户,久而久之就成了行业习惯

MFA?

没办法 像我们的金融业务必须要手机号 还要做二三要素认证，验证码这边只能多接几家短信商，然后多搞几个签名报备作为备用，然后最近在接一键登录

微博（私信验证）
坚果云（微信服务号验证）
腾讯（让用户发送短信）
邮箱验证

业务 app 做过 CA 证书签名登录 只要用户本地安装了证书 并且针对某次登录请求签名成功就放行了

坚果云没有微信验证啊，都是邮箱和密码

微信没有限制频次吗？

语音验证码

外国有几个靠发短信的，麻烦点的邮箱验证码，新兴的有身份认证器认证（微软），passkey （ github 等）、oauth （ apple 登录、谷歌登录等）。

第一次获取不到换语音验证码或上行短信验证（就是用户发短信到某个指定号码）

@wasaibi12345 国外的默认的都是真实信息，他们头像名字地址大多数都是真实信息，当然也有假的，但是基于人权法没有要求强制实名。TG 是地球上少制名的家，基於政策用手是最方便的，所以在大多大的 app 第一步就是收集你的手，有了就有了一切

passkey 美国这儿大网站已经基本普及了

上行短信？应该不算特别麻烦吧？

@flyqie #68

不算特别麻烦 -> 对客户不算特别麻烦

严格来讲这并不是技术问题，这是个产品问题，首要应该用产品思维去看问题，邮箱/passkey 太依赖具体的用户群体，如果你的用户主体都是年轻人，互联网这块稍微熟悉的，你可以这么推；群体比较广就不太现实；除验证码登录之外，建议以下 2 种，密码麻烦点大部分也能接受，也可以做时效性免登机制；

1. 三大运营商本机号码一键登录
2. 密码登录

@FriedRice 坚果云是二次验证用的微信，https://help.jianguoyun.com/?p=1251

唯一方法就是微信扫码（国内）、邮箱验证码（国外）
如果你的用户连密码都不想记，其他全七八糟的方法也不会想用

那必须是接入国家网络身份认证

@wasaibi12345 #14 不完全是。国内大部分人没有邮箱，几乎不用，qq 自带的那个不算。大家也不会用，多少人收件箱里满满当当都不整理。国内邮箱这个使用习惯一直没有广泛培养起来。

网号

@unused 这个现在有公开 API 可以调用了么

TOTP

@cooltechbs 允许州官放火 不允许百姓点灯

邮箱不就好了

Google Authenticator ，拿到一个 key 放软件里就能生成验证码，不过要让用户装一个验证码软件也挺麻烦的，好像小程序有也不用装软件了？

反过来，生成验证码让用户给你发，我记得网易邮箱还是啥就是这么搞的。

@darkengine 国内有做这个的吗？

双因素身份验证(2FA)

抖音授权登录可以获取手机号，不用抖音的人直接 pass

@wasaibi12345 所谓的实 ming 认证吧

可能还是回到最原始的方式最稳妥，不完全依赖第三方，就是最开始的 [用户名+密码] 方式。
密码忘记了再通过邮箱或者其他方式重置密码。

微信小程序自带的短信验证可以考虑一下。

国内就是接一键登录 SDK ，然后指纹登录，然后微信\支付宝授权登录，这三不就够了吗？？？

@zhonghao01 哈哈是的，我昨天还在一台新电脑的客户端上设置 qq 邮箱，生成客户端专用密码的时候需要这么搞，不过腾讯也是提供了其他验证方式的，只不过默认是发短信

@darkengine #81 点名微博，动不动就说我账号高风险，让我改密码，先要求你下 App 改密码，然后改密码的时候说账号有风险需要给他们发短信，真特么恶心。

One-Time Token 发邮件链接。

@skiy 问下,流程这块我也考虑,但是就是要分好几步走,第一个码打开小程序,第二个才使用小程序进行确认关联用户,感觉扫描两次不太好

totp 动态密钥

@v2taa 如果已经验证。可以一步到位。已认证的主体，能够直接扫码进入到具体的页面和传自定义参数。未认证的不能传参。

做多端，其他端扫码直接登录。

邮箱发验证码，手机号只是填一下做备选方案，平时不需要用

@YVAN7123 楼下有老哥帮忙补充了，某浪微博就是这么搞的

运营商的一键登录，天翼云那种？该说不说最近一段时间没收到过垃圾小短信了。。。。