
Telegram Gateway 是 Telegram 面向企业和开发者提供的验证码投递服务。业务方把用户主动提供的手机号交给 Gateway API,并提交自定义验证码或让 Telegram 生成验证码,用户随后会在 Telegram 的“Verification Codes”会话中收到消息。它主要解决的是“通过 Telegram 投递登录或注册验证码”,不是支付网关,也不是用来接收 Telegram 自身登录验证码的工具。
它确实能减少对运营商短信链路的依赖,但不能简单理解为“全面替代短信”。真正决定是否值得接入的,是目标用户是否使用 Telegram、是否明确同意接收消息、业务需要证明的是 Telegram 账号访问权还是当前 SIM 卡控制权,以及能否提供可靠的备用验证通道。
一、Telegram Gateway 是什么?
根据 Telegram Gateway 官方,这项服务允许企业通过 Telegram 验证客户手机号。公开的 Gateway API 文档 展示了一套基于 HTTP 的接口,当前核心能力包括验证码发送、可发送性检查、验证码状态查询和消息撤销。

- · 接收对象:手机号已注册 Telegram,且用户把该号码主动提供给业务方。
- · 投递内容:以登录、注册等场景的数字验证码为主,当前公开接口名为
sendVerificationMessage。 - · 接收位置:验证码进入 Telegram 的“Verification Codes”会话,不走普通运营商短信收件箱。
- · 前置条件:用户需要能够访问 Telegram;业务方需要取得明确同意,并自行承担手机号来源、数据处理和合规责任。
认证注意:
Telegram Gateway 能证明用户可以访问与该手机号关联的 Telegram 账号,但不等于实时验证用户仍控制该号码对应的 SIM 卡。业务必须确认当前 SIM 持有关系,或需要覆盖没有 Telegram 的用户时,仍应保留短信、语音或其他验证方式。
二、Telegram Gateway、Telegram Login 和 Bot API 有什么区别?
如果目标只是“让 Telegram 用户登录”,优先评估 Telegram Login 官方文档。其当前文档支持登录组件、移动端 SDK 和基于 OpenID Connect 的授权流程。业务确实需要保留“手机号输入—发送验证码—校验验证码”这条链路时,Gateway 才更合适。若目标是开发聊天机器人,则应使用 Telegram Bot API,两者的 Token、接口地址和使用模型都不同。
三、哪些业务适合接入 Telegram Gateway?
适合优先测试的情况
- · 目标用户中 Telegram 使用率较高,并且用户能够稳定访问 Telegram。
- · 业务已经合法取得手机号,并在注册、登录或敏感操作前明确告知验证码将通过 Telegram 发送。
- · 现有系统本身就有 OTP 状态机、尝试次数限制、过期处理和备用通道,只是准备增加一种投递方式。
- · 团队能够安全保管 API Token、限制调用来源,并验证回调签名。
不适合直接作为唯一通道的情况
- · 大量用户没有 Telegram,或目标地区对 Telegram 的访问存在不确定性。
- · 业务必须确认用户当前控制实体 SIM,而不只是能访问对应的 Telegram 账号。
- · 账号找回、资金转移等高风险操作仅依赖一次 Telegram OTP,没有额外身份校验。
- · 业务没有取得明确授权,准备把已有号码库直接导入并批量触达。
- · 团队无法使用当前充值方式,或尚未确认货币使用、税务和数据处理要求。
Telegram Gateway 服务条款明确禁止向未同意的用户发送未经请求的消息,也禁止用 Gateway 做数据抓取、用户枚举、欺骗或社会工程。它的定位是验证基础设施,不是号码检测或营销群发工具。
四、Telegram Gateway 怎么收费?先处理官方口径差异
预算阶段先向登录 Gateway 的自有手机号发送免费测试消息,再对少量已同意的测试用户做灰度验证,并同时核对控制台账单、request_cost、is_refunded 和消息状态。等实际数据与当前条款能够对得上,再决定是否扩大流量。

官方接入教程显示,账户充值通过 Fragment 完成;Gateway 页面目前说明可使用 TON 支付。服务条款同时规定,未使用余额不能提取或转移到其他 Gateway 账户,已购买积分有效期为三年。充值前还要确认所在地区对相关支付方式的法律、税务和财务要求。
五、Telegram Gateway API 接入流程

- 1. 创建 Gateway 账户。进入 Telegram Gateway 平台,使用 Telegram 账号确认登录。首次使用时,平台可能要求填写个人和业务信息。
- 2. 准备余额和 API Token。向其他用户发送消息前需要充值,并在账户设置中获取 Token。Token 只保存在服务端密钥系统中,不要写入网页代码、公开仓库、日志或截图。官方教程还支持限制允许调用 Token 的 IP 或 IP 段。
- 3. 取得手机号与明确同意。手机号使用 E.164 国际格式,例如国家代码加本地号码。Telegram 不会把用户手机号提供给业务方,号码必须由用户主动提交。
- 4. 判断是否可发送。先调用
checkSendAbility。检查成功后,系统会返回request_id并产生一次费用;随后调用发送接口时带上该request_id,可避免同一请求被重复计费。若检查返回不可发送错误,则不收费。 - 5. 发送验证码。调用
sendVerificationMessage,可以传入4至8位纯数字验证码,也可以只指定code_length让 Telegram 生成。还可设置30至3600秒的ttl、内部payload和 HTTPScallback_url。 - 6. 校验验证码和接收报告。如果验证码由 Telegram 生成,通过
checkVerificationStatus校验用户输入。配置回调地址后,服务端还应检查X-Request-Timestamp与X-Request-Signature,并对重复回调做幂等处理。
不要把接口成功当成验证完成
接口返回 ok=true,不代表用户已经完成验证。业务后端仍要区分已发送、已投递、已读取、已过期、验证码正确、验证码错误和尝试次数超限等状态,再根据操作风险决定是否放行。
六、上线前需要注意:该做主通道、备用通道,还是暂不接入?
前述条件大多满足,并且备用验证路径已经准备好时,Telegram Gateway 才适合成为特定用户群的优先通道。Telegram 覆盖率尚不明确的业务,先把它做成用户主动选择的验证选项,比一次性替换全部短信流程更合适。
七、安全检查清单
- 1. 授权可证明:保存用户选择 Telegram 验证的时间、场景和隐私提示版本。
- 2. 数据最小化:手机号、请求 ID、验证码状态和日志只保留业务所需范围,并设置清晰的保留周期。
- 3. Token 不出服务端:启用 IP 限制、定期轮换,避免进入前端代码、错误日志和协作聊天。
- 4. 回调必须验签:校验签名与时间戳,拒绝过旧请求,并按
request_id去重。 - 5. 验证码防猜测:设置有效期、最大尝试次数、重发间隔和账号级速率限制,不能只依赖 Gateway 默认状态。
- 6. 高风险操作升级验证:账号找回、提现、修改安全设置等操作不应仅凭单次 Telegram OTP 放行。
- 7. 保留备用通道:针对未安装 Telegram、无法访问、消息过期或服务区域变化的情况提供明确下一步。
Telegram 的条款说明 Gateway 的功能和地区可用性可能变化,也不保证消息一定送达或被读取。监控时别只盯着 API 请求是否成功,至少还要覆盖可发送率、投递状态、验证码完成率、回退率、重复请求和单次验证实际成本。
八、常见问题
Telegram Gateway 可以完全替代 SMS 验证码吗?
不能一概而论。它只覆盖已注册并能访问 Telegram 的用户,且验证目标更接近 Telegram 账号访问权。面向广泛用户或需要确认 SIM 控制的业务,应保留短信、语音、通行密钥或其他备用方式。
用户必须安装 Telegram 吗?
用户至少需要拥有与目标手机号关联的 Telegram 账号,并能在手机、桌面端或网页端访问该账号。只有手机号、但无法访问 Telegram 的用户无法通过这一通道完成验证。
每个验证码固定是0.01美元吗?
官方产品概览目前使用0.01美元作为宣传价格,但服务条款允许价格随地区、用途和其他因素变化,并要求以消息发送时 Gateway 界面显示的价格为准。正式预算应以当前控制台、条款和小流量账单验证为依据。
测试 Telegram Gateway 会收费吗?
官方文档说明,向用于登录 Gateway 的自有手机号发送测试验证码免费。向其他用户测试前,先核对余额、当前价格和用户授权。
Telegram Gateway 能发送营销消息吗?
当前公开 API 和文档以验证码及必要的自动消息为核心。未经明确同意的消息被服务条款禁止,数据抓取和用户枚举也属于禁止用途,因此不应把 Gateway 当作营销群发通道。
对多数团队来说,起点不是立即替换短信,而是先明确认证目标:要用 Telegram 身份直接登录,就评估 Telegram Login;要把 OTP 投递到 Telegram,并且已经具备手机号授权、备用通道和服务端安全能力,再小流量接入 Telegram Gateway。这样才能把通道成本、用户覆盖和认证风险放进同一套决策里。

完成验证后,如果还需要长期分别管理多个 Telegram Web 账号,可以参考多账号浏览器完整指南,再根据不同项目分别保存 Cookie、代理配置和登录环境,减少账号状态混用。



