如何验证传入的 Twilio 短信？

Question

我基本上是在尝试允许用户使用短信在他们的博客上发帖。我为每个用户存储了一个电话号码，并且由于 twilio 在他们提交给我的页面的发布请求中发送了该信息，因此我可以进行反向查找以查看将其发布到哪个博客。现在出现了问题，我如何确定用户发送了文本？任何人都不能用别人的电话号码发送帖子信息吗？

我对此有几个想法： 1. Twilio 在帖子中发送您的帐号，我想恶意用户不知道该帐号。 2. 我可以回复一条包含随机生成代码的短信，然后让用户将其发回。这将有效地使 SMS 需求增加三倍，我更喜欢第一个。

第一“足够安全”吗？还是我应该像第二个那样硬着头皮做一个响应系统？

Answer 1

您可以验证请求是否来自 Twilio。我们为每个请求附加一个X-Twilio-Signature 标头，该标头使用您的身份验证令牌（只有您自己知道）签名。每个 Twilio 帮助程序库都有一个函数来帮助确定请求是否由 Twilio 发出。

请参阅我们关于验证请求的文档：http://www.twilio.com/docs/security#validating-requests

或我们用于验证 Twilio 请求的帮助程序库函数：例如http://readthedocs.org/docs/twilio-php/en/latest/usage/validation.html#validate-incoming-requests。