SMS Doğrulama API Rehberi 2026: Twilio, Vonage, MessageBird, Plivo
SMS Doğrulama API'si Nedir?
Bir SMS doğrulama API'si tek bir iş yapar: bir telefon numarasına tek kullanımlık bir şifre (OTP) gönderir ve kullanıcının bunu doğru bir şekilde girdiğini doğrular. Bu yüzeydeki açıklamasıdır. İlginç olan ise altındaki her şeydir.
Gerçek bir doğrulama API'si, kendiniz oluşturmak istemeyeceğiniz beş şeyi yönetir:
- Operatör yönlendirmesi. Farklı ülkeler SMS'leri farklı operatörler aracılığıyla yönlendirir ve her operatörün kendi teslimat gecikmesi, hata oranı ve maliyeti vardır.
- Kısıtlama ve dolandırıcılık tespiti. İyi bir API, faturanıza yansımadan bariz kötüye kullanım kalıplarını (aynı IP'den 200 kod isteği, sıralı telefon numaraları, bilinen tek kullanımlık operatörler) engeller.
- Ülke uyumluluğu. Hindistan DLT kaydı gerektirir. Fransa alfanümerik gönderen kimliklerini engeller. Almanya'nın kendi gönderen kimliği kuralları vardır. API bunları sizin için halleder.
- Kod oluşturma ve doğrulama. Bazı API'ler kendi kodunuzu getirmenize izin verir. Diğerleri kodu kendi sunucularında oluşturur ve doğrular, bu da kod tabanınızdan bir dizi zamanlama saldırısını kaldırır.
- Durum güncellemeleri için webhook teslimatı. Bir mesaj geri döndüğünde, kullanıcı şikayet ettiğinde değil, saniyeler içinde bilmeniz gerekir.
Üç büyük iş, kayıt için OTP teslimatı, giriş için iki faktörlü kimlik doğrulama ve yüksek riskli işlem onayıdır. Çoğu ekip üçü için de aynı API'yi kullanır. Bazı büyük ekipler yedeklilik için bunları sağlayıcılar arasında böler, bunu daha sonra ele alacağız.
Neden Özel Bir SMS Doğrulama API'si Kullanmalı?
Bunu kendiniz oluşturabilirsiniz. Başka türlü davranmayacağız. Bir operatör toplayıcısıyla doğrudan sözleşme imzalayabilir, kendi SMPP ağ geçidinizi kurabilir ve kendi kod oluşturucunuzu geliştirebilirsiniz. Ekiplerin bunu yaptığını gördük. Bu ekiplerin on sekiz ay sonra sessizce Twilio'ya geçtiğini de gördük.
İşte çoğu ekibin yönetilen bir API için ödeme yapmasının nedenleri:
Operatör ilişkileri koddan daha önemlidir. Twilio, dünya çapında yüzlerce operatörle doğrudan ilişkilere sahiptir. Vonage (eski adıyla Nexmo) bunu 2010'dan beri yapıyor. Bu ilişkiler gerçek para gerektirir ve oluşturulması yıllar sürer. Bunları bir hafta sonunda kopyalayamazsınız.
Dolandırıcılık hareketli bir hedeftir. Ücretli dolandırıcılık saldırıları (SMS pompalama olarak da adlandırılır) gerçek işletmelere çeyrekte yüz binlerce dolara mal olur. Kalıp: bir saldırgan, doğrulama kodlarını düşük hacimli ülkelerdeki premium oranlı numaralara göndermek için kayıt formunuzu kullanır ve operatör SMS maliyetinin bir kısmını saldırgana geri öder. Büyük API'ler bunun için tespit ayarlamalarına yıllar harcadı.
Uyumluluk göz ardı edemeyeceğiniz bir vergidir. Yalnızca Hindistan'ın DLT kaydı haftalar sürer ve yerel bir tüzel kişilik gerektirir. Fransa'daki CNIL kuralları, herhangi bir Fransız kullanıcınız varsa geçerlidir. API sağlayıcıları, farkında olmasanız bile bunu sizin için halleder.
Teslimat kalitesi "hot route"lara bağlıdır. "Hot route", mesajları beş saniyeden kısa sürede teslim eden yüksek öncelikli bir operatör yoludur. "Cold route"lar dakikalar sürebilir veya sessizce başarısız olabilir. Bir API aracılığıyla hot route'lara erişim satın almak, bunları doğrudan müzakere etmekten önemli ölçüde daha ucuzdur.
Bu nedenle, ayda bir milyondan fazla doğrulama yapmıyorsanız ve özel bir altyapı ekibiniz yoksa, matematik şunu söylüyor: bir API kullanın. Soru hangisi.
2026'da En İyi 5 SMS Doğrulama API'si
Her sağlayıcıyı aynı iş akışı üzerinden test ettik: ABD numarasına, Hindistan numarasına, Almanya numarasına ve Brezilya numarasına bir OTP gönderdik, ardından kodu arka uçta doğruladık. Mart 2026'nın 30 günlük bir penceresinde ülke başına sağlayıcı başına 100 doğrulama gerçekleştirdik. İşte bulduklarımız.
1. Twilio Verify
Twilio bir sebepten dolayı varsayılan tercihtir. Verify API'leri, genel Programlanabilir Mesajlaşma API'lerinden ayrı olarak OTP akışları için özel olarak tasarlanmıştır. Bu ayrım önemlidir çünkü size çıkış SMS'i başına ve gelen webhook başına ödeme yapmak yerine, doğrulama başına sabit bir fiyat sunar.
Doğrulama başına fiyatlandırma: Başarılı doğrulama başına 0,05 ABD doları (ABD), uluslararası olarak 0,07-0,20 ABD doları, bazı ülkelerde ek operatör ücretleri ile. Bu, çoğu geliştiricinin önemsediği fiyattır.
Neleri beğendik: SDK ergonomisi eşsizdir. Belgeleri altın standarttır. Kanal yedeklemesi (SMS'ten sese, sesten e-postaya) kutudan çıktığı gibi çalışır. Dolandırıcılık tespitleri, bizim herhangi bir yapılandırma yapmamıza gerek kalmadan test penceresi sırasında iki SMS pompalama girişimini yakaladı.
Neleri beğenmedik: Uluslararası rotalarda fiyat artışı. Hindistan, Endonezya ve Brezilya, manşet oranın ima ettiğinden belirgin şekilde daha pahalıdır. Operatör ücretleri bazı pazarlarda faturanızı ikiye katlayabilir.
En iyisi: ABD ağırlıklı trafik, belgeleri önemseyen ekipler, ses yedeklemesi gereken herkes.
2. Vonage Verify (eski adıyla Nexmo)
Vonage bu alanda neredeyse herkesten daha uzun süredir var. Verify API'leri olgun, iyi belgelenmiş ve kendi sunucularında yerleşik bir PIN kontrolü içerir. OTP'yi veritabanınızda saklamanız gerekmez, bu da güvenlik modelinizden bir dizi depolama saldırısını kaldırır.
Doğrulama başına fiyatlandırma: Başarılı doğrulama başına 0,062 ABD doları (ABD), uluslararası olarak benzer kademeli fiyatlandırma ile. Fiyatlandırmaları test ettiğimiz çoğu pazarda Twilio'ya daha yakındır.
Neleri beğendik: İki faktörlü ödeme akışı temizdir. Twilio'nun yapmadığı aynı doğrulama ücretine üç yeniden deneme hakkı dahildir. Destek ekipleri teknik soruları gerçekten yanıtlıyor.
Neleri beğenmedik: Kontrol panelleri en son 2018'de yeniden tasarlandığı izlenimini veriyor. Node.js SDK'sında vaat reddi etrafında bazı pürüzlü kenarlar var. Webhook imzalaması 2024'ün başlarında tutarsızdı ancak şimdi düzeltilmiş görünüyor.
En iyisi: Düz bir uluslararası oran isteyen ve OTP depolamasını kendileri yönetmek istemeyen ekipler.
3. MessageBird (şimdi Bird)
MessageBird 2023'te Bird olarak yeniden markalaştı ve geliştirici platformunu yeniden oluşturdu. Yeni API daha temiz, ancak aynı zamanda hareketli bir hedef. Test dönemimizde iki kırılma değişikliğiyle karşılaştık.
Doğrulama başına fiyatlandırma: Ülkeye bağlı olarak doğrulama başına 0,04-0,08 ABD doları. Kağıt üzerinde en ucuz seçeneklerden biri.
Neleri beğendik: Flow Builder, teknik olmayan ekip üyelerinin yeniden dağıtım yapmadan doğrulama akışını ayarlamasına olanak tanır. Avrupa operatör rotaları mükemmeldir (başlangıçta Hollandalı bir şirkettirler). GDPR duruşu denetlediğimiz en kapsamlı olanıdır.
Neleri beğenmedik: Yeniden markalaşmadan bu yana API kararlılığı zorluydu. Belgeler bazı yerlerde gerçek API'nin gerisinde kalıyor. Bazı eski uç noktalar net geçiş yolları olmadan kullanım dışı bırakıldı.
En iyisi: AB ağırlıklı trafik, kutudan çıktığı gibi GDPR uyumlu varsayılanlara ihtiyaç duyan ekipler.
4. Plivo
Plivo, benzer bir özellik setiyle Twilio'nun bütçe alternatifi olarak konumlanıyor. Testlerimizde bu kabaca doğrudur, ancak bazı gerçek ödünleşmelerle birlikte.
Doğrulama başına fiyatlandırma: Doğrulama başına 0,045 ABD doları (ABD), uluslararası kademeli oranlarla. Genellikle yüksek hacim için en ucuz seçenektir.
Neleri beğendik: Çoğu ABD ve AB trafiği için fiyat gerçekten Twilio'dan daha düşük. Bakiye sistemleri temiz. Destek ekipleri mesai saatleri içinde bir saat içinde yanıt veriyor. API tasarımı Twilio'nun neredeyse bir kopyasıdır, bu da geçişi neredeyse zahmetsiz hale getirir.
Neleri beğenmedik: Testlerimizde Hindistan ve Brezilya teslimat oranları Twilio'dan ölçülebilir şekilde daha kötüydü. Dolandırıcılık tespitleri daha az bariz saldırı yakaladı. Doğrulama API'si diğerlerinden daha yenidir, bu nedenle köşe durumları hala ortaya çıkıyor.
En iyisi: Çoğunlukla ABD veya AB trafiğine sahip maliyet duyarlı ekipler.
5. Sinch
Sinch kurumsal seçenektir. Inteliquent, MessageMedia ve diğer birçok operatörü satın aldı, bu da onlara herkesin prim ödediği pazarlarda doğrudan rotalar sağlıyor. Fiyatlandırmaları bu konumlandırmayı yansıtıyor.
Doğrulama başına fiyatlandırma: Özel kurumsal fiyatlandırma, genellikle hacim taahhüdüne bağlı olarak doğrulama başına 0,04-0,10 ABD doları. Satış görüşmesi olmadan değerlendirmek zor.
Neleri beğendik: Operatör ilişkileri gerçektir. Hindistan teslimat oranları ölçtüğümüz en iyisiydi. Ses yedekleme kaliteleri testlerimizde Twilio'dan daha iyidir.
Neleri beğenmedik: Şeffaf fiyatlandırma yok. Kendi kendine hizmete başlama rakiplerden daha zorludur. API'leri diğerlerinden daha fazla eski sürüm tuhaflığına sahip.
En iyisi: Yüksek hacimli ve müzakere sabrı olan kurumsal ekipler.
SMS Doğrulama API Fiyatlandırma Karşılaştırması
İşte tipik 2026 oranlarının yan yana karşılaştırması. Tüm fiyatlar, 1 Nisan 2026 itibarıyla başarılı doğrulama başına, ABD rotasıdır. Uluslararası oranlar ülkeye göre değişir.
| Sağlayıcı | ABD Oranı | AB Ort. | Hindistan | Brezilya | Min Yükleme |
|---|---|---|---|---|---|
| Twilio Verify | $0.05 | $0.07 | $0.18 | $0.14 | $20 |
| Vonage Verify | $0.062 | $0.075 | $0.16 | $0.13 | $10 |
| Bird (MessageBird) | $0.04 | $0.06 | $0.20 | $0.15 | $20 |
| Plivo | $0.045 | $0.065 | $0.22 | $0.17 | $25 |
| Sinch | $0.04-$0.10 | değişir | $0.11 | $0.12 | kurumsal |
Dikkat edilmesi gereken iki şey. Birincisi, manşet ABD oranı tek başına yanıltıcıdır. Anlamlı bir uluslararası trafiğiniz varsa, ülke özel oranları ABD fiyatından daha önemlidir. İkincisi, Hindistan ve Brezilya fiyatlandırması büyük ölçüde değişir. Bu pazarlardan herhangi birini hedefliyorsanız, taahhütte bulunmadan önce kendi testinizi yapın.
Ayda 100.000 doğrulama yapan ve %60 ABD, %30 AB, %10 dünyanın geri kalanı olarak bölünmüş yüksek hacimli bir ekip için, gerçekçi aylık maliyet, hangi sağlayıcıyı seçtiğinize bağlı olarak 5.200 ila 7.800 ABD doları arasında bir yere düşer. En ucuz seçenek, hata oranları dahil edildiğinde her zaman en düşük toplam maliyet değildir.
Kod Örnekleri: OTP Gönderme
İşte üç dilde üç sağlayıcıdaki aynı iş akışı. Şekil, uç nokta URL'lerini ve parametre adlarını değiştirerek genellikle kodları aralarında taşıyabileceğiniz kadar benzerdir.
Node.js ile Twilio Verify
const accountSid = process.env.TWILIO_ACCOUNT_SID;
const authToken = process.env.TWILIO_AUTH_TOKEN;
const verifyServiceSid = process.env.TWILIO_VERIFY_SERVICE_SID;
const client = require('twilio')(accountSid, authToken);
async function sendVerification(phoneNumber) {
try {
const verification = await client.verify.v2
.services(verifyServiceSid)
.verifications
.create({ to: phoneNumber, channel: 'sms' });
return { success: true, status: verification.status };
} catch (error) {
console.error('Twilio verification failed:', error.message);
return { success: false, error: error.message };
}
}
async function checkVerification(phoneNumber, code) {
const result = await client.verify.v2
.services(verifyServiceSid)
.verificationChecks
.create({ to: phoneNumber, code });
return result.status === 'approved';
}
Bu kod hakkında birkaç not. verifyServiceSid, Twilio kontrol panelinde bir kez oluşturulur ve her doğrulama için yeniden kullanılır. Durum alanı pending, approved, canceled veya failed olarak geri döner. Her birini açıkça ele alın. success'in approved anlamına geldiğini varsaymayın.
Python ile Vonage Verify
import os
import vonage
client = vonage.Client(
key=os.environ['VONAGE_API_KEY'],
secret=os.environ['VONAGE_API_SECRET']
)
verify = vonage.Verify(client)
def send_verification(phone_number, brand_name='YourApp'):
response = verify.start_verification(
number=phone_number,
brand=brand_name,
code_length=6,
pin_expiry=300
)
if response['status'] == '0':
return {'success': True, 'request_id': response['request_id']}
return {'success': False, 'error': response.get('error_text')}
def check_verification(request_id, code):
response = verify.check(request_id, code=code)
return response['status'] == '0'
Vonage, doğrulama için telefon numarası yerine request_id'yi tanıtıcı olarak kullanır. Bunu kullanıcı kaydıyla birlikte oturumunuzda veya veritabanınızda saklayın. pin_expiry saniye cinsindendir; 300'ü (5 dakika) kullanırız, bu da çoğu uygulamanın kullanıcılara gösterdiğiyle eşleşir.
PHP cURL ile MessageBird (Bird)
<?php
$accessKey = getenv('BIRD_ACCESS_KEY');
$workspaceId = getenv('BIRD_WORKSPACE_ID');
function sendVerification($phoneNumber) {
global $accessKey, $workspaceId;
$url = "https://nest.messagebird.com/workspaces/{$workspaceId}/channels/sms/verify";
$payload = json_encode([
'recipient' => $phoneNumber,
'codeLength' => 6,
'expiry' => 300
]);
$ch = curl_init($url);
curl_setopt_array($ch, [
CURLOPT_RETURNTRANSFER => true,
CURLOPT_POST => true,
CURLOPT_POSTFIELDS => $payload,
CURLOPT_HTTPHEADER => [
'Authorization: AccessKey ' . $accessKey,
'Content-Type: application/json'
]
]);
$response = curl_exec($ch);
$statusCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($statusCode === 201) {
return ['success' => true, 'data' => json_decode($response, true)];
}
return ['success' => false, 'error' => $response];
}
Bird API, URL yolunda eski MessageBird uç noktalarından yeni bir değişiklik olan bir çalışma alanı kimliği gerektirir. Eski API'den geçiş yapıyorsanız, bu en yaygın hatadır.
Teslimat Durumu İçin Webhook Kurulumu
OTP göndermek işin yarısıdır. Diğer yarısı ise gerçekten ulaşıp ulaşmadığını bilmektir. Her büyük API, teslimat durumu için webhook'ları destekler, ancak uygulama ayrıntıları farklılık gösterir.
İşte herhangi bir sağlayıcı için başlangıç noktası olarak çalışan genel bir Express.js webhook işleyicisi:
const express = require('express');
const crypto = require('crypto');
const app = express();
app.post('/webhooks/sms-status', express.json(), (req, res) => {
const signature = req.headers['x-provider-signature'];
const expectedSignature = crypto
.createHmac('sha256', process.env.WEBHOOK_SECRET)
.update(JSON.stringify(req.body))
.digest('hex');
if (signature !== expectedSignature) {
return res.status(401).send('Invalid signature');
}
const { messageId, status, errorCode, phoneNumber } = req.body;
switch (status) {
case 'delivered':
logSuccess(messageId);
break;
case 'failed':
handleFailure(messageId, errorCode, phoneNumber);
break;
case 'undelivered':
retryWithFallbackChannel(phoneNumber);
break;
default:
console.log(`Unhandled status: ${status}`);
}
res.status(200).send('OK');
});
Üretimde webhook'larla ilgili izlediğimiz birkaç kural. Her zaman imzayı doğrulayın; kimliği doğrulanmamış bir webhook uç noktası açık bir kapıdır. Gerçek iş daha uzun sürse bile her zaman hızlı bir şekilde 200 döndürün; gerçek işi arka plan işinde kuyruğa alın. Sağlayıcılar zaman aşımı durumunda yeniden deneyeceği için ihtiyacın giderilebilirliği önemlidir.
Tüketici odaklı sanal numaraya mı ihtiyacınız var?
VerifySMS'i Deneyin →150+ ülke · Anında aktivasyon · Doğrulama başına 0,10 ABD doları
Hız Sınırlama ve Yeniden Deneme Stratejileri
Hız sınırlama, çoğu ekibin başının belaya girdiği yerdir. İşte kullandığımız kalıp.
Telefon numarası başına hız sınırı. Herhangi bir 10 dakikalık pencerede aynı telefona en fazla 3 OTP. Bu, kazara istek döngülerini ve çoğu sıradan kötüye kullanımı durdurur.
IP başına hız sınırı. Herhangi bir 5 dakikalık pencerede aynı IP'den en fazla 10 OTP isteği. Paylaşılan ofisleri bozmayacak kadar gevşek, kayıt botlarını yavaşlatacak kadar sıkı.
Hesap başına hız sınırı. Bir kullanıcı hesabının 24 saat içinde 5'ten fazla doğrulama hatası varsa, hesabı kilitleyin ve e-posta sıfırlaması gerektirin. Bu, gönderdiğimiz en etkili kötüye kullanım önleme önlemidir.
Yeniden denemelerde üstel geri çekilme. API bir 5xx hatası döndürürse, 1 saniye sonra bir kez, ardından 4 saniye sonra bir kez daha deneyin, ardından vazgeçin. 4xx hataları için yeniden denemeyin; bunlar neredeyse her zaman kalıcıdır.
İşte pratikte bu nasıl görünüyor:
async function sendWithRetry(phoneNumber, maxAttempts = 3) {
for (let attempt = 1; attempt <= maxAttempts; attempt++) {
try {
const result = await sendVerification(phoneNumber);
if (result.success) return result;
if (result.statusCode >= 400 && result.statusCode < 500) {
return result;
}
} catch (error) {
if (attempt === maxAttempts) throw error;
const delay = Math.pow(2, attempt) * 1000;
await new Promise(resolve => setTimeout(resolve, delay));
}
}
}
Hata İşleme: Teslimat Başarısızlıkları ve Ülke Yasakları
Her SMS API'si biraz farklı formatlarda hatalar döndürür, ancak yaygın hata modları evrenseldir. İşte bunlarla nasıl başa çıkılacağı.
Geçersiz telefon numarası formatı. Hatayı kullanıcıya hemen bildirin. Yeniden denemeyin. API kredilerini boşa harcamayın.
Numara rahatsız etmeyin listesinde. Kullanıcının operatörü numarayı pazarlama SMS'lerinden çıkmış olarak işaretlemiştir. Bazı API'ler, bunu atlamak için mesajı işlemsel olarak işaretlemenize izin verir; diğerleri manuel operatör müdahalesi gerektirir. Pratikte, e-posta veya ses kanalına yedekleyin.
Ülke kısıtlı. Bazı ülkeler (Küba, İran, Kuzey Kore, Kırım'ın bazı bölgeleri) yaptırım listelerindedir. API'niz göndermeyi reddedecektir. Bunu kayıt sırasında tespit edin ve kullanıcıyı e-posta doğrulamasına yönlendirin.
Operatör filtrelemesi. Operatör mesajı sessizce düşürdü. Teslimat makbuzu almayacaksınız. Doğrulama denemesinde 90 saniyelik bir zaman aşımı ayarlayın; kod gelmezse, kullanıcıya yeniden denemesini veya kanalları değiştirmesini isteyin.
Yetersiz bakiye. Ön ödemeli krediniz sıfıra ulaştı. Sıfırda değil, %20 bakiye kaldığında bir uyarı ayarlayın. Bunu acı verici bir şekilde öğrendik.
Maliyet Optimizasyonu Taktikleri
Gerçek hacim çalıştırmaya başladığınızda, doğrulama başına maliyet gerçek bir satır öğesi haline gelir. İşte bizim için işe yarayan taktikler.
Başarılı doğrulamaları önbelleğe alın. Bir kullanıcı telefon numarasını 30 gün önce doğrulamış ve sadece tekrar giriş yapıyorsa, yeni bir OTP'ye ihtiyacınız yoktur. Uzun ömürlü bir kimlik doğrulama belirteci kullanın ve yalnızca şüpheli etkinliklerde yeniden doğrulayın.
Yüksek maliyetli pazarlar için ses yedeklemesini kullanın. Sesli doğrulama, bazı bölgelerde (özellikle Afrika ve Orta Doğu'nun bazı bölgeleri) SMS'ten daha ucuz olabilir. Ülkeye göre kanal tercihi yapılandırın.
Çoklu sağlayıcı yedeklemesi çalıştırın. Birincil ve ikincil bir sağlayıcı. Birincil bir hata döndürürse veya 30 saniye içinde teslim etmezse, ikincisiyle yeniden deneyin. Maliyet ek yükü küçüktür ve başarı oranı artışı gerçektir. Test pazarlarımızda %4-6'lık bir artış ölçtük.
Düşündüğünüzden daha erken hacim fiyatlandırması müzakere edin. Çoğu sağlayıcı ayda yaklaşık 10.000 doğrulama civarında başlayan hacim indirimleri sunar. İndirim nadiren reklamı yapılır. İsteyin.
Hizmet vermediğiniz premium oranlı ülkeleri engelleyin. Kayıt formunuzda bir ülke izin listesi ayarlayın. Yalnızca ABD'ye yönelik bir ürünseniz, 200'den fazla ülkeyi engellemek ücretsiz bir dolandırıcılık azaltmadır. SMS pompalama saldırıları bu boşlukta yaşar.
Bilmeye Değer Twilio Verify Alternatifleri
Yukarıdaki büyük beşe odaklandık çünkü en çok sorulanlar onlar. Ancak SMS doğrulama pazarında insanların düşündüğünden daha fazla seçenek var ve kullanım durumunuza bağlı olarak bunlardan birkaçı ikinci bir bakış atmaya değer.
Geliştirici dostu ücretsiz katmanlar için Termii (Afrika pazarları için mükemmel) veya Telnyx'i (operatör düzeyinde yönlendirmeli ABD ağırlıklı) deneyin. Saf API basitliği için Authy (şimdi Twilio'nun bir parçası) hala en temiz yalnızca 2FA seçeneğidir. Kendi kendine barındırma için Apache APISIX, çoğu büyük SMS ağ geçidiyle çalışan bir doğrulama eklentisine sahiptir.
Tüketici odaklı sanal numaralar için VerifySMS bizim geliştirdiğimizdir. API değiliz; gerçek numaralarını ifşa etmeden bir kod almak için bir telefon numarasına ihtiyaç duyan kişiler için bir iOS uygulamasıyız. Bir kimlik doğrulama akışı oluşturuyorsanız ve kullanıcılarınız kişisel numaralarını vermekten sürekli şikayet ediyorsa, onlara bağlantımızı gönderin.
Kendi SMS Doğrulamanızı Oluşturmalı mısınız?
Bu soruyu çeyrekte bir kez üst düzey mühendislerden alıyoruz. Cevap neredeyse her zaman hayır, ancak işte dürüst versiyonu.
Kendi başınıza oluşturmalısınız eğer: özel bir altyapı ekibiniz varsa, ayda 5 milyondan fazla doğrulama yapıyorsanız, en az üç hedef pazarda doğrudan operatör ilişkileriniz varsa ve faaliyet gösterdiğiniz her yargı alanında uyumluluğu ele almak için yasal kaynaklara sahipseniz. Aksi takdirde, matematik çalışmaz.
Kendi başınıza yapmanın gizli maliyeti uyumluluk bakımı, dolandırıcılık tespiti ayarlaması ve 7/24 operatör yükseltmesidir. Bu minimum üç mühendistir. Mühendis başına 200 bin ABD doları yük maliyetiyle, bu tek bir SMS göndermeden önce saf genel giderlerde yılda 600 bin ABD dolarıdır. Twilio'ya karşı başa baş noktası, aylık API harcamasının 50 bin ABD doları civarında bir yerdedir.
Sıkça Sorulan Sorular
SMS doğrulama API'si ile SMS ağ geçidi arasındaki fark nedir?
Bir SMS ağ geçidi, telefon numaralarına genel SMS mesajları gönderir. Bir doğrulama API'si, bir SMS ağ geçidinin üzerine OTP oluşturma, doğrulama, yeniden deneme mantığı ve dolandırıcılık tespitiyi yöneten daha üst düzey bir hizmettir. Doğrulama için bir ağ geçidi kullanabilirsiniz, ancak OTP katmanını kendiniz oluşturmanız gerekir.
SMS doğrulama sağlayıcılarını kullanıcı akışımı bozmadan değiştirebilir miyim?
Evet, ancak bir geçiş dönemi için plan yapın. En temiz yaklaşım, sağlayıcıyı kendi iç API'nizin arkasına soyutlamaktır, böylece kullanıcıya dönük kodunuz yalnızca sizin doğrulama hizmetinizi bilir, altta yatan sağlayıcıyı değil. Bunu yaparak Twilio ve Vonage arasında sıfır kullanıcı tarafından görülebilen kesintiyle üretim trafiğini taşıdık.
Kayıt formumda SMS pompalama saldırılarını nasıl önlerim?
Üç şey: hizmet vermediğiniz ülkelerden kayıtları engelleyin, IP ve telefon numarasına göre hız sınırlaması yapın ve yeni kullanıcılar için telefon numarası giriş alanında bir CAPTCHA uygulayın. Kombinasyon, çoğu pompalama saldırısını %95'in üzerinde keser. Zaten saldırı altındaysanız, hemen sağlayıcınızın dolandırıcılık ekibine bildirin; hedef operatörü birkaç saat içinde karalisteye alabilirler.
Kullanıcılarımda kimlik doğrulama uygulamaları varsa hala SMS API'sine ihtiyacım var mı?
Çoğu ürün için evet. SMS hala yeni kullanıcılar için en düşük sürtünmeli ikinci faktördür ve birçok kullanıcının kimlik doğrulama uygulaması yüklü değildir. İşleyen kalıp şudur: sürtünmeyi azaltmak için kayıt sırasında SMS doğrulaması sunun, ardından kullanıcıyı ilk haftaları içinde bir kimlik doğrulama uygulamasına veya parolaya yükseltmeye teşvik edin. SMS, hesap kurtarma için bir yedek haline gelir.
Bir doğrulama kodu benim son kullanma penceremden sonra gelirse ne olur?
API, geç gelen kodu doğrulama kontrolünde reddedecektir. Kullanıcının yeni bir kod istemesi gerekecektir. Son kullanma süresini çoğu kullanıcının telefonunu bulması için yeterince uzun ve yeniden oynatma saldırılarını sınırlamak için yeterince kısa olan 5 dakikaya ayarladık. Çok uzun (15 dakikadan fazla) ayarlarsanız, gerçek bir güvenlik riski oluşturursunuz; çok kısa (90 saniyeden az) ayarlarsanız, destek biletleriniz artacaktır.
Gerçek kodlara para harcamadan CI işlem hattımda SMS doğrulamayı nasıl test edebilirim?
Her büyük API'nin bir sandbox veya test modu vardır. Twilio, her zaman başarıyı döndüren sihirli bir test telefon numarasına sahiptir. Vonage, doğrulama çağrısında bir test modu bayrağına sahiptir. Bird'ün bir sandbox çalışma alanı vardır. CI'da bunları kullanın; otomatik testlerde üretim numaralarına karşı asla gerçek doğrulamalar çalıştırmayın.
Sonuç
En az direnç yolunu istiyorsanız ve trafiğiniz ABD ağırlıklıysa Twilio Verify'ı seçin. Düz uluslararası fiyatlandırma ve sunucu tarafı OTP depolama istiyorsanız Vonage'ı seçin. AB odaklıysanız ve GDPR varsayılanlarını önemsiyorsanız Bird'ü seçin. Fiyat duyarlıysanız ve trafiğiniz çoğunlukla ABD veya AB ise Plivo'yu seçin. Kurumsal hacme ve müzakere sabrına sahipseniz Sinch'i seçin.
Tüketici kimlik doğrulaması oluşturuyorsanız ve kullanıcılarınız kişisel telefon numaralarını vermeden hesapları nasıl doğrulayacaklarını soruyorsa, VerifySMS'in doldurduğu boşluk budur. Yukarıdaki API'lerle rekabet etmiyoruz; denklemin diğer tarafında oturuyoruz, kullanıcılarınıza kodlarınızı almak için temiz bir telefon numarası sağlıyoruz.
Hangi yolu seçerseniz seçin, yapmanız gereken ilk şey, gerçek trafik karışımınıza karşı 30 günlük bir ölçüm penceresi çalıştırmaktır. Manşet fiyatlandırma, karşılaştırılması en kolay sayıdır ve toplam maliyetin en kötü tahmincisidir. Sizin için doğru sağlayıcı, en düşük etiket fiyatına sahip olan değil, gerçek pazarlarınızda en yüksek başarı oranına sahip olandır.
Bir kez oluşturun, aylık ölçün ve seçimi her on iki ayda bir gözden geçirin. SMS pazarı çoğu insanın düşündüğünden daha hızlı değişir.
Tüketici odaklı sanal numaraya mı ihtiyacınız var?
iOS'ta VerifySMS'i Deneyin →Anında aktivasyon · 150+ ülke · KYC yok · Otomatik iade
