邮件验证码的存储方案需要兼顾 安全性、性能 和 可维护性,以下是详细分析和推荐方案:
1. 推荐方案:Redis(首选)
为什么选择 Redis?
| 优势 | 说明 |
|---|
| 高性能 | 内存读写,毫秒级响应,适合高频验证场景 |
| 自动过期(TTL) | 可设置验证码有效期(如5分钟),到期自动删除,无需手动清理 |
| 原子性操作 | 支持 SETEX(设置值+过期时间)、INCR(防刷)等原子命令 |
| 分布式支持 | 多台服务器可共享同一份验证码数据,避免负载均衡导致的验证失败 |
| 持久化可选 | 即使重启服务,验证码仍可保留(根据配置) |
代码示例
await redis.setex(`email:code:${email}`, 300, code);
const storedCode = await redis.get(`email:code:${email}`);
if (storedCode === userInputCode) {
}
Key 设计建议
- 格式:
业务前缀:唯一标识(如 email:code:user@example.com) - 防冲突:避免简单键名(如
code),确保不同业务/用户隔离
2. 其他方案对比
| 存储方式 | 优点 | 缺点 | 适用场景 |
|---|
| 内存(Map) | 零延迟,简单 | 重启丢失,无法多机共享 | 开发环境快速原型 |
| 数据库 | 持久化,结构化查询 | 性能低,需手动清理过期数据 | 不推荐(除非已有数据库) |
| Memcached | 高性能 | 无原生过期机制,功能较 Redis 少 | 旧系统兼容 |
3. 生产环境最佳实践
(1) 安全性增强
- 加密存储:对验证码哈希后再存 Redis(避免明文泄露):
const hashedCode = crypto.createHash('sha256').update(code).digest('hex');
await redis.setex(`email:code:${email}`, 300, hashedCode);
- 防暴力破解:限制验证尝试次数(如每分钟3次):
const attempts = await redis.incr(`email:attempts:${email}`);
if (attempts > 3) throw new Error('尝试次数过多');
(2) 防刷策略
- 频率限制:同一邮箱/IP 间隔时间发送:
const lastSent = await redis.get(`email:last_sent:${email}`);
if (lastSent && Date.now() - lastSent < 60000) {
throw new Error('请1分钟后再试');
}
await redis.setex(`email:last_sent:${email}`, 60, Date.now());
(3) 高可用配置
- Redis 集群:使用哨兵(Sentinel)或集群模式避免单点故障
- 连接池:通过
ioredis 复用连接,提升性能
4. 完整流程示例
app.post('/send-code', async (req, res) => {
const { email } = req.body;
const code = generateCode(6);
const lastSent = await redis.get(`email:last_sent:${email}`);
if (lastSent) throw new Error('操作过于频繁');
await redis.setex(`email:code:${email}`, 300, code);
await sendEmail(email, code);
await redis.setex(`email:last_sent:${email}`, 60, '1');
res.json({ success: true });
});
app.post('/verify-code', async (req, res) => {
const { email, code } = req.body;
const storedCode = await redis.get(`email:code:${email}`);
if (!storedCode || storedCode !== code) {
throw new Error('验证码无效');
}
await redis.del(`email:code:${email}`);
res.json({ success: true });
});
5. 决策树
总结
- 99% 场景选 Redis:性能、过期管理、分布式支持完胜其他方案
- 内存(Map)仅用于测试:快速验证逻辑,但无生产价值
- 数据库不推荐:除非业务强依赖 SQL 事务
