短信验证码应该入库还是只在内存中暂存？

过一会儿就失效的东西入库干嘛

事后审计，不过意义不大吧

redis

@ys0290 对呀我也觉得很奇怪。

@zuk 确实，如果是邀请码之类的我觉得是有必要入库的。

项目管细节么？

项目不是应该提细节么？

比如

“验证码能够保留在服务器上 XXX 时间，以便随时审核”

@Weny 我也是这么和项目经理说的，memcache, redis 之类的他说要搞分布式数据库才上那些东西。我感觉内存型数据库和关系型数据库的分布式没有必然联系哇～

@jarlyyn 并没有这种细节，只有 IP 请求数量限制，手机号请求数量限制以及过期时间限制。

发短信不要钱吗？入库好统计成本。

嗯，项目经理为什么要管这个？

@actto 原来如此，他肯定也没想到这点～

@x7395759 小公司，开发才 5 个人，包括我 3 个实习生。项目经理算是一个,还有个前端。项目经理他负责搭框架写，写计划之类的。

@kyuuseiryuu 那就没啥好说了，存库还是存 redis 还是存 session 都没有关系，只要能用就行。

常规存 session 和 redis，存库审计和统计成本是没意义的，感觉项目经理想法有些固定。

你大还是他大? 他大就听他的.

建议入库，统计和审查都比较方便。一般的项目，日志都需要保存几个月。更何况这种业务数据。

入库，业务方使用方便

我的话 就会要求入库或者日志。

生产服上面的日志，从来只会嫌少 不会嫌多的。

@hoythan
表情(小纠结)

入库就入呗， 当你遇到让你去日志里面捞验证码的时候，你就明白项目经理是对的了

新网案法规定，日志必须至少保留 180 天。（我瞎编的）
这种东西有日志总比没日志强~后期什么大数据分析，都是数据来源。

@wildcat007 感觉验证码没有大数据分析的价值哇，验证码规律和客户端 IP 或者手机号没有必然联系。

@kyuuseiryuu 感谢回复，我第一句只是调侃。验证码如果设置有失效时间，那么不用入库。但是一般请求验证码接口的一些信息，可能需要入库，比如 UA、IP 等等。
UA 主要是分辨 浏览器类型、版本、手机端等等，甚至可以获取系统信息、手机型号等等。
然后就是 IP 信息。
这些应该都是保存的吧。当出现问题的时候，这些数据都是有据可查的基础呀。
比如被人把短信接口做短信轰炸了？或者 某个地区的 访问量异常增加了？

外部缓存 redis 之类的数据库里

往程序内存里写的话你重新发布的时候怎么办，强制所有短信验证码失效？
至于统计，写日志里就行

@wildcat007 嗯～有道理。

写成可配置存储验证码，要进数据库就进数据库，要进内存就进内存。
如果下次说要写进文件呢？

redis , 统计用日志呗

@ChoateYao 老司机～机智又厉害

第一眼看到这个问题 我以为 LZ 是想说手机收到验证码是不是可以在超时后自动销毁 省的一大堆在短信里碍眼 看来我想多了。。

使用 OTP 算法生成验证码和做验证。
这样时间有效期和生成，校验一起搞定了。

@senghoo 学到了～ cool

@hoythan 这是最实在的回答了，哈哈哈，赞一个。

redis 后慢慢存库

小项目，并发不大，入库就入库呗。

@senghoo 有必要吗？ redis 自带过期啊

以手机号为 key，验证码为 value。
不要放 session 里，毕竟你还要控制每个手机号的请求数量。

有必要入库。。。记录上用户的 IP 以及其它很多信息。。。。不然短信被刷了你都不知道。。我就查到过。。。。。。。。。还有短信接口返回值也要记录。。。我们很多用户反馈收不到短信。。。这样就有数据可查。。。。。。