我能想到的，除了图形验证码：

基于手机号码，限制每天每个手机最多发N条验证码。这个貌似LZ已经加了。

基于IP，限制每天每个IP最多发N条验证码... -- 缺点：容易误杀正常用户，慎用

【究极手段】基于用户行为大数据分析

如何基于用户行为分析呢？想到一个简单的方法：

首先，正常用户除了发送验证码这个请求外，应该还会访问页面的其他资源，比如CSS/JS/HTML/图片等。

然而，如果是刷子，他可能并不会专门去访问这些个资源。

所以可以在用户访问页面的时候就记录一个human参数存在session中，每当其请求页面中的一个资源则human += 1。等到发送验证码的接口的时候，取出来这个human参数看看其值是多少，正常的一个用户这个human值应该是大于某个值的（比如5），小于的则应该就是刷子。（为0的肯定是刷子无疑）

我说的比较简单啦，更复杂点的可以顺便把几次请求之间的间隔记录下来，点击登录或注册按钮前鼠标的移动轨迹，鼠标按下收起的时间等等记录下来综合分析。

要是能引用或抄一个像google做的reCAPTCHA -- 点一下就自动识别人还是机器刷子 -- 就好了。