Redis验证码存储推荐使用String类型，key设计为"captcha:phone:手机号"或"captcha:email:邮箱", value存储验证码字符串如"123456"。设置TTL过期时间为300秒（5分钟），使用EXPIRE命令自动清理。高效策略：批量预生成验证码池，使用Lua脚本原子操作setnx避免覆盖。安全性：验证码生成随机6位数字，避免顺序；结合IP+用户ID做key防刷；限制同一IP短时请求次数，用incr+expire计数器；启用requirepass密码和bind绑定IP；传输用HTTPS加密；删除验证码用单次消耗机制，即验证后立即DEL key。

存储方式

验证码一般使用String类型存储，Key可以是"sms:{手机号}" 或者 "email:{邮箱}"，Value就是验证码，比如"358692"。设置过期时间，比如300秒。SET sms:138xxxxxxxx 358692 EX 300

高效缓存策略

1. 设置合理的TTL，比如验证码5分钟有效期，SET key value EX 300
2. 使用Pipeline批量操作减少RTT
3. 验证码池预生成：提前生成N个验证码存Redis，请求时pop一个用
4. Lua脚本原子验证+删除：eval "if redis.call('get',KEYS[1])==ARGV[1] then redis.call('del',KEYS[1]) return 1 else return 0 end" 1 sms:138xxxxxxxx 358692

安全性考虑

1. Key带用户标识+随机盐：sms:138xxxxxxxx:{random}
2. 频率限制：incr ip:138xxxxxxxx:count，EX 60，若>5则拒绝
3. 验证码单次使用，验证成功立即DEL
4. Redis ACL限制命令，只允许SET GET DEL EXPIRE
5. 网络安全：只开6379到应用服务器，防火墙限制

实际代码示例

发送验证码：
$redis->setex('sms:' . $phone, 300, $code);
验证：
$cacheCode = $redis->get('sms:' . $phone);
if($cacheCode === $code){
$redis->del('sms:' . $phone);
return true;
}

防刷机制

用ZSET存储用户请求时间：ZREMRANGEBYSCORE sms_attempts:{phone} 0 当前时间-60
ZADD sms_attempts:{phone} 当前时间戳 当前时间戳
ZCARD检查>5则限流

高并发优化

1. 读写分离，主从复制
2. 验证码异步生成队列
3. Cluster分片，按phone hash到slot
4. 内存优化：关闭AOF，只用RDB

FAQ
Q: 验证码存Redis会不会内存爆炸？
A: 单个验证码几十字节，5分钟TTL，QPS 1000也才几MB，用LRU策略自动淘汰。
Q: 怎么防止验证码被猜？
A: 6位随机+频率限制+单次消耗，概率极低。
Q: 分布式系统key冲突？
A: 加业务前缀如app_sms:phone。
Q: Redis挂了验证码丢了？
A: 双写DB备份，或用本地缓存兜底。