![](/img/trans.png)
[英]What should be the routes and http methods for phone number verification in REST API?
[英]REST API. Should I double-check phone verification code when sign up
我有一個 REST Api 用戶注冊路徑如下:
在第二步中,如果輸入的代碼正確,我將手機標記為已驗證,在第三步中,我檢查手機是否已標記為已驗證。 但想象一個人驗證手機,另一個人(假設是黑客)嘗試跳過前兩個步驟並使用第一人的手機觸發/注冊。 由於手機已經過驗證,黑客成功注冊。
所以問題是如何使 /sign-up 安全? 我想到的一個想法是在第二步和第三步仔細檢查代碼。 但這會增加驗證代碼的持續時間,這不是很安全。 你能給我一些更好的建議嗎?
在使用 cookies 的服務上使用某種 session 系統。 當您注冊和驗證時,您會記住電話號碼以及是否在 session 中進行了驗證。
您不必再次詢問電話號碼,因為電話號碼應該是已知的並且在 session 中。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.