session是在服务端的,所以不用担心会被截取。为当前请求创建一个会话(session),将验证码按照你们的安全策略放到session中,例如,记录当前请求的IP地址,记录当前手机号码和发送验证码次数。每次请求时,获取当前会话中的信息,进行逻辑判断;另外一种思路是将手机号码等信息放到redis缓存,或者你们DB中,这样就不会因为关闭浏览器(会话丢失)而导致之前记录的手机号等信息丢失
