多因素认证提示短信内容非法

零信任网关使用atrust登录，设置了多因素短信认证。今天发现3个用户登录时，输入用户名密码后，转跳到输入短信验证码页面，提示短信内容非法，其他用户登录正常。查看零信任网关，和阿里云短信网关，发现零信任网关上未将短信内容提交至阿里云短信网关。有大神能帮忙分析一下问题吗？

atrust为最新版，登录3个问题账户时均提示短信内容非法，登录其他账户正常。零信任网关与阿里云短信网关通信正常。

针对零信任网关（使用 Atrust 登录）中部分用户触发 “短信内容非法” 且零信任网关未向阿里云短信网关提交短信的问题，可从以下几个方向逐步排查，定位根因：一、优先排查用户账号 / 属性的特殊性既然仅 3 个用户出现问题，其他用户正常，说明整体短信网关配置（如阿里云 API 密钥、模板 ID 等）无全局性错误，需聚焦这 3 个用户的差异点：用户手机号格式问题检查这 3 个用户在 Atrust 或零信任网关中的手机号存储格式：是否包含特殊字符（如空格、括号、“+86” 多余前缀）、是否少位 / 多位（如手机号为 11 位，但存储为 10 位或 12 位）、是否包含非数字字符（如字母、符号）。阿里云短信网关对手机号格式有严格要求（通常为纯 11 位数字，国内手机号需带 “86” 前缀时需确认网关配置是否兼容），若用户手机号格式非法，零信任网关可能在本地校验时直接拦截，不向阿里云提交请求，同时返回 “短信内容非法”（部分系统会将手机号格式错误归为 “内容非法”）。用户账号状态或属性限制检查这 3 个用户是否处于 “锁定”“禁用”“待激活” 等特殊状态，或是否被配置了 “禁止短信认证”“认证方式限制” 等策略（如仅允许邮箱认证，不允许短信）。查看用户所属用户组是否有特殊配置：若用户组被误配置了 “短信模板 ID 错误”“短信签名不匹配” 等参数，可能导致网关在提交前校验失败，不发起请求。二、排查零信任网关的本地校验逻辑零信任网关在向阿里云提交短信前，通常会先进行本地校验（如手机号格式、短信模板参数、用户权限等），若校验失败则直接拦截，不触发阿里云请求，同时返回错误提示：短信模板参数替换失败零信任网关发送的短信内容通常基于阿里云的 “短信模板”（如 “您的验证码是\({code}，有效期5分钟”），其中的变量（如\){code}）需要动态替换为实际验证码。若这 3 个用户的登录场景中，变量替换失败（如网关生成验证码时异常、变量名与模板不匹配），可能导致网关判定 “短信内容非法”（模板参数不完整），从而不提交至阿里云。操作：在零信任网关日志中搜索这 3 个用户的登录记录，查看是否有 “模板参数错误”“变量替换失败” 等日志（重点关注 “短信发送前校验” 阶段的报错）。用户所属区域 / 短信签名不匹配阿里云短信网关要求 “短信签名” 需与手机号归属地、模板类型匹配（如国内手机号需用国内签名，国际手机号需对应国际签名）。若这 3 个用户的手机号归属地（如境外号码）与零信任网关配置的短信签名 / 模板适用区域冲突，网关可能在本地校验时判定非法，不提交请求。操作：确认用户手机号归属地，对比零信任网关配置的阿里云短信模板（是否为国内模板）、签名（是否为国内备案签名）。三、排查零信任网关与用户交互的前端 / 会话问题用户从 “输入用户名密码” 到 “跳转短信页” 的过程中，若会话信息异常，可能导致网关生成的短信内容（含会话关联参数）非法，进而拦截：前端页面缓存或参数传递错误用户浏览器缓存了旧的认证页面，导致跳转时传递的参数（如用户 ID、会话 ID）异常，网关解析时判定非法，不发送短信。操作：让用户清除浏览器缓存、换浏览器或隐私模式登录，排除前端缓存问题；检查网关日志中用户会话 ID 是否有效（是否存在会话过期、重复会话等）。验证码生成逻辑异常若零信任网关为这 3 个用户生成的验证码包含特殊字符（如字母、符号），而阿里云短信模板限制 “验证码必须为纯数字”，则网关可能在本地校验时判定内容非法（不符合模板规则），不提交请求。操作：查看网关生成的验证码格式（通过日志或临时开启调试模式），对比阿里云短信模板对验证码的要求（如是否限制长度、字符类型）。四、日志与调试建议零信任网关日志重点查看这 3 个用户登录时间点的 “认证模块日志”“短信网关交互日志”，搜索关键词：“短信发送失败”“校验失败”“手机号非法”“模板错误”，确认网关在哪个阶段拦截了请求（本地校验阶段还是提交阿里云阶段）。若日志显示 “手机号格式非法”，直接定位用户手机号配置问题；若显示 “模板参数不匹配”，检查模板变量替换逻辑。阿里云短信网关日志登录阿里云短信控制台，查看 “发送记录” 和 “错误分析”，确认是否有这 3 个用户的请求记录（若完全无记录，说明零信任网关未提交，问题在网关本地；若有记录且报错，根据阿里云错误码排查）。总结排查步骤优先检查 3 个用户的手机号格式（是否为纯 11 位数字，无特殊字符）；对比正常用户与异常用户的属性（用户组、状态、手机号归属地）；查看零信任网关日志，定位本地校验失败的具体原因（手机号、模板参数、会话等）；验证短信模板变量替换是否正常，验证码格式是否符合模板要求。通过以上步骤，通常能定位到 “用户手机号格式错误”“模板参数替换失败” 或 “用户属性限制” 等核心原因，针对性修正即可解决。

零信任网关与阿里云短信网关的短信模板变量格式不匹配。例如，零信任网关使用{{username:user.username}}和{{spaSecert:env.spaSecert}}，而阿里云要求${username}和${spaSecert}。若变量属性未设置为“其他”（如名称、账号、地址等），可能导致字符解析失败。
短信模板内容包含特殊符号、中括号、繁体字、错别字或变异字，触发阿里云的“模板内容非法”报错（错误码SmsContent.Illegal）。

另外，还有可能是以下原因：
变量类型或数量不一致：
阿里云短信模板定义的变量数量与零信任网关提交的变量数量不匹配。例如，模板要求3个变量，但零信任仅提交2个。
变量类型不符合阿里云要求（如日期格式、数字格式等）。
用户信息格式问题：
测试用户的用户名或手机号包含空格、特殊字符（如User A），导致变量解析失败。
用户信息未正确同步至零信任网关（如AD域用户电话字段未填写）。