验证码：

作为用户，我可以通过手机号和短信验证码登录，以便于我更方便的登录。安全验收标准：

短信验证码有效期 2 分钟。

验证码为 6 位纯数字。

每个手机号 60 秒内只能发送一次短信验证码，且这一规则的校验必须在服务器端执行。

同一个手机号在同一时间内可以有多个有效的短信验证码。

保存于服务器端的验证码，至多可被使用 3 次(无论和请求中的验证码是否匹配)，随后立即作废，以防止暴力攻击。

短信验证码不可直接记录到日志文件。

发送短信验证码之前，先验证图形验证码是否正确(可选)。

集成第三方 API 做登录保护(可选)。