如果是那种恶意的注册，知道登陆的方法以及验证之后，自己写个脚本去访问这个方法，一直注册

@红领巾i: 难道你没有使用验证码？

@dudu: 有用过验证，而且还是2套验证，前台js跟ajax方法里面都有

@红领巾i:

那要每次手工成功输入验证码后才能注册。

如果不想让用户直接写脚本就能注册，可以在每次访问页面时生成token，ajax post时验证token是否有效。

登录方法名称是不是可以直接看到，这无关紧要，因为用户可以直接用脚本发ajax post请求。

@dudu: 感谢大神的分享，不过也可以给登陆加一个key码，要key码才能进行登录（比如后台管理系统）。注册加一个ip验证，防止那种重复的恶意注册

@红领巾i: 你说的“key码”可能是token机制。ip验证效果有限，真正想恶意注册的可以换IP进行注册，而使用公司网络上网的用户，可能不同用户使用的是同一个IP。

@dudu: 如果你的网站需要做活动，活动有一些优惠券之类的，一些羊毛党就专注册一些小号来领优惠券，比如账号abc1,abc2...这个是没办法去阻止的吧。

@红领巾i: 最有效的方法是手机验证

@dudu: 一个手机号码绑定一个账户，或者直接用手机号码做登陆名

@红领巾i: 注册时输入手机号码，将验证码发至手机，然后输入验证码进行验证。。。注册成功后，将手机号码绑定到这个帐户。

@dudu: 还得设置验证码的过期时间，感谢大神精彩的分享，很有帮助。