سلام
ساخت یک سیستم otp به صورتی دستی امنیت رو پایین میاره؟
مثلا خودم یه رشته رندوم تولید کنم و در جایی ذخیره کنم و برای کاربر بفرستم و با کدی که کاربر ارسال میکنه مقایسه کنم و در صورت درست بودن لاگین کنم
یه جورایی یعنی فقط از سرویس پیامک استفاده کنم و وریفای رو خودم انجام بدم
نه چه مشکی ایجاد میکنه؟
همه ی سیستم ها برای احراز هویت شماره موبایل یا ایمیل از همین روش استفاده میکنند یا رشته ی ایجاد میکنن و برای کاربر ارسال می کنند و از کاربر میخوان که اون رشته یاعدد رو وارد کنه و سمت بک اند این دوتا باهم مقایسه میشه درست بود میره مرحله بعد
نه نفس کار که هیچ مشکلی ایجاد نمیکنه.
فقط باید حواستون به یکسری جزئیات و ریزه کاری ها و نقاط نفوذ و ... باشه تا امنیتش تامین بشه.
مثلا حتما از Rate Limitter برای route های مرتبط استفاده کنید تا جلوی حمله از نوع BruteForce گرفته بشه. یا اینکه حتما موارد رو در سمت سرور چک کنید و هیچ ولیدیشنی رو صرفادر سمت کاربر اکتفا نکنید و مواردی از این دست که بیشتر بر حسب تجربه و تو کار به دست میاد...
آیا مایل به ارسال نوتیفیکیشن و اخبار از طرف راکت هستید ؟