Как проще всего авторизовывать человека в мобильном приложении с помощью REST-API?

Question

[NyxDeveloper]

Я пишу серверную часть для мобильного приложения и хотел поинтересоваться у более опытных людей каким образом лучше и дешевле всего авторизовывать человека в мобильном приложении.
В качестве сервера используется Django3 + DRF и Channels на asgi и база Postgres.
Авторизовывать человека через отправку ему одноразовых кодов на телефон - дорого (2.50 рублей за смс - самый приемлемый вариант, что я нашел). По логину и паролю - слишком тупо для мобильного приложения, даже если авторизоваться нужно всего один раз. Использовать почту тупо по той же причине.
Предпологаю, что самым приемлемым вариантом является вход в приложение по pin-коду, но я пока не до конца понимаю как его реализовать.
Подскажите, какие методы авторизации можно использовать и как они работают?

Comments

[NyxDeveloper]

TheAndrey7, ну вообще, да, но по хорошему бы сделать единообразную авторизацию, т.к. чем меньше кнопок - тем лучше

[NyxDeveloper]

TheAndrey7, Вот тут полностью согласен, об этом я и задумался

Answer 1

[Михаил Р.]

- Звонок-сброс клиенту, пусть укажет последние 4 цифры телефона (120 x 5 = 600р/мес).
- СМС клиенту, берите непубличный тариф с пакетом СМС, у меня вышло 0.21р за СМС.
- Писать в любой из мессенджеров, искать по номеру.

Comments

[NyxDeveloper]

agagaheash ashaherya4wr, типа логиниться через социальные сети? Или через приложение гугл аута постоянно вводить число?)

Answer 2

[true]

почему нельзя просто отправлять пароль (пин-код) ?

Comments

[NyxDeveloper]

Потому что для этого человек уже должен быть авторизован на устройстве, чтобы отправлять не только пин, но и токен, а пин будет служить в качестве подтверждения, что это именно тот пользователь. Проще правда использовать соцсети, т.к. там всю работу уже сделали за вас.

[true]

NyxDeveloper, я чото не понимаю
поясни

новый пользователь при первом посещении сервера придумывает свой пин-код, то есть пароль

сервер при этом генерит уникальный ключ и бд связывает его с паролем

далее система проверяет ключ и пароль
другие клиенты зная пароль не смогут войти

а если пользователь теряет пароль то восстанавливает его по емейлу

- этого не достаточно?

Answer 3

[profesor08]

На андроид или иос есть учетная запись. Авторизуй через нее. Если юзер так не хочет или учетки нет (пользоваться нормально телефоном будет не просто), то по емейлу и паролю, или по номеру телефона и паролю. При регистрации прислать смс/емейл с кодом подтверждения. Дальнейший вход будет осуществляться в зависимости от способа регистрации: в один клик по учетке, емейл/телефон + пароль.

Если полагаться на смс, то можно лишиться пользователей. СМС может идти пару секунд, минут, часов или просто не прийти, или прийти с опозданием сразу 10 раз в любом порядке, так как юзер будет тыкать кнопку снова и снова пока не надоест и не удалит приложение.