Нормально ли хранить код проверки телефона по SMS в куках?
Сразу скажу что не надо предлагать мне другие пути решения авторизации по СМС - я их знаю и использую.
Есть вопрос именно про такое хранение.
Смысл в следующем - отправляя на телефон пользователя код авторизации, мы одновременно сохраняем ему на устройство хэшированную куку с этим кодом. Хэш от кода, времени и сменяемой соли.
В момент отправки кода, мы получаем так же и эту куку и выполняем проверку.
Какие могут быть подводные камни такой авторизации?
Средний
Средний
