关于iOS客户端发送图片验证码的一些初级的认知

最近在面试的过程中，总是遇到一些稀奇古怪的问题。such as : 最近短信攻击发展的很猖狂，一些小公司在没有任何措施的情况下，总是会莫名其妙的被攻击。so，他们就想一些方法去补救，首先冒出来的肯定是服务器加一些限制措施，同一个手机号在一定的时间内只能发送几次等等这样的措施，表面上看起来没有什么毛病，但是亲身体验以后总会发现短信验证码还是会莫名其妙的被攻击。所以这样的措施是没有什么乱用的。然后就想起来了令我们用户很恶心的方案。那就是在获取短信验证码的之前加入图片验证码。那么问题来了，服务端是怎么确定你发送的这样图片验证码就是你在客户端看到的这个验证码？表面上看来这个问题跟我们客户端是没有半毛钱的关系，但是在面试官的眼中这些跟我们客户端是有密切的关系的。对于我这个对服务端七窍通六窍的人来说我当然不会说不知道，我说，我的理解是服务器创建一个表，他收到我发送的验证码之后他会根据手机号去表中查找这个验证码，然后进行比较。很开森的是得到了面试官的否定。他们说建表？不存在，这辈子都不可能建表！然后我就很好奇的问了一句如果建表不存在的话，他们是如何对比这些验证码的。让我更开森的就是面试官小哥哥把答案告诉我了，他说你知道cookie吗？你知道session吗？我就很机智的回答了一下cookie是WKWebView里面的那个东西吗？233333！此刻显得更尴尬。他们说你在向服务器发送请求的时候会给服务器发送一个cookie和session，他们给你回调的时候也会给你返回一个cookie和session。简单的就是说你发送请求获取到了图片验证码，然后服务器给你回调的时候我们只解析了response里面的图片验证码，却没有在AFN底层看他们的cookie和session。服务端是把图片验证码和cookie、session进行绑定的他们不需要建表，只需要根据你发送的sessionID和cookie进行比较就行。虽然我什么也不懂。但是想想应该是这个道理。以上这些是在面试的过程中遇到的改变我对图片验证码的认知的问题。如果我理解有误。还麻烦在评论区指出。谢谢！