Регистрация по номеру телефона?

Question

[ITDown]

Пишу авторизацию/регистрацию по номеру телефона. Имеется два URL:
/api/request - POST запрос для отправки кода, принимаю только номер телефона, делаю валидацию номер, также ограничиваю на отправку кол-во кодов.
/api/confirm - POST запрос на проверку кода. Вот тут я и попал в тупик. Какие тут должны быть проверки помимо проверки самого кода? Мой вариант реализации такой:
Принимаем номер (мы его знаем) и принимаем код от пользователя. Дальше просто проверяем код и все. Можно также ограничить на попытки спама кодов.

Честно говоря, полная реализация выглядит так себе для обеих УРЛОВ. Может, кто-то писал данную авторизацию, хочу увидеть реализацию или текст как я должен обрабатывать/проверять это.

Прошелся по сайтам где регистрация по номеру и там при отправки кода/проверки кода передаются какие-то токены. Судя по всему, токены создаются при заходе на сайт и все.

Мой код:

const { parsePhoneNumberFromString } = require('libphonenumber-js');

const isValidPhoneNumber = (phone, country) => {
    const parsePhoneNumber = parsePhoneNumberFromString(phone, country);

    if (!parsePhoneNumber || !parsePhoneNumber.isValid()) return null;
    return parsePhoneNumber;
}

exports.requestController = (req, res) => {
    const { phone } = req.body;

    const formattedNumber = isValidPhoneNumber(phone);

    if (!phone || !formattedNumber) {
        return res.status(400).json({ 
            message: 'Incorrect number' 
        })
    }
    return res.status(200).json(formattedNumber.formatInternational())
}

exports.confirmController = (req, res) => {
    const { phone, code } = req.body;

    res.json({ message: 'confirm code' })
}

Comments

[setupx]

Прошелся по сайтам где регистрация по номеру и там при отправки кода/проверки кода передаются какие-то токены. Судя по всему, токены создаются при заходе на сайт и все.

CSRF токены используются я думаю.

Answer 1

[knigaman]

Первый запрос = принимаем на сервере номер телефона, генерируем токен (случайная строка длиной, предположим, 64 символа - цифры, буквы большие и маленькие), отправляем его на клиент. Генерируем код доступа, отправляем его смской на телефон. В зависимости от логики можем и не отправлять (если допустим у нас метод для логина а такого юзера еще нет (он еще не зарегистрирован)).

Второй запрос = отправляем с клиента токен (тот 64 символьный полученный от сервера) и строку с кодом из смс. Проверяем на сервере токен и код из смс, если все ок - пускаем в аккаунт.

Примечания:
1) токены и сами попытки входа должны жить определенное количество времени, предположим 5 минут.
2) попытки ввода кода (неправильные вводы) должны быть ограничены разумным числом (ну допустим 5 попыток)
3) если можно то лучше код сделать длиннее - хотя бы 6 цифр, а лучше 8 и более.
4) попытки входа в аккаунт можно ограничить, но тогда будет можно абузить эту "фичу" и блокировать вход чувакам, тут выбираем меньшее из зол исходя из бизнес требований
5) можно экономить на смсках и доставлять код в последних цифрах номера / голосовой озвучкой, отправлять в вк, ватсап, телеграм, вайбер

500 айкью примечания для кое какой защиты от слива бюджета:
1) можно юзать капчу (можно не всегда а когда начинается аномалия по отправке кодов - всплеск количества отправок)
2) как уже и говорил разделение входа и регистрации
3) ставим бот защиту от какого нибудь сервиса по защите от ддос/бот атак
4) иногда можно не отправить код а отправить клиенту респонс что код отправлен, если клиент вводит код - скорее всего это атака. человек же запросит код повторно (потому что он тупо ему не пришел)
5) иногда можно отправить код не сразу а через предположим, 30 секунд - если ввели код раньше - значит что-то не так

Comments

[ITDown]

Токен как я понимаю на сервере нужно кидать в сессию или куки, верно? Ну, передавать данный токен объектом клиенту смысла нет, т.к. при отправки его можно будет перехватить тогда.

[knigaman]

ITDown, перехватить можно че угодно, поэтому разницы нет особой, делай как удобно. Я лично не пишу никогда токены в куки, передаю на клиент в теле ответа jsonом. На клиенте также никуда не сохраняю кроме переменной. То есть не пишу токен в куки/локалсторож или еще куда. Тупо const token = response.token

[ITDown]

knigaman, так тогда от этого смысла ведь нет. Даже если токен будет иметь срок жизни, то это можно будет понять и переделать запрос.

[ITDown]

knigaman, можно использовать HttpOnly куки, не?

[knigaman]

ITDown, принято сейчас использовать https соединение, где перехват токена затруднителен. Почти единственный путь - это вирус на устройстве пользователя, который вытащит токен откуда угодно, поэтому защищать токен особо смысла нет, тем более в промежутке 5 минут (время действия кода из смс и токена). Если кому то надо будет перехватить токен то он это сделает в любом случае как бы ты не защищался. Единственный плюс в таком случае httponly cookie это защита от зараженных библиотек фронтэнда которые могут сливать данные куда-то на сторону.

[SymphoGraph]

knigaman,

не пишу токен в куки/локалсторож или еще куда. Тупо const token = response.token

Это подразумевает, что пользователь логинится при каждом посещении?

[knigaman]

SymphoGraph, с чего бы это? В контексте вопроса автора токен это секретная строка, которую генерирует сервер и отдает клиенту при отправке кода смс. Этот токен используется чисто для того чтобы обезопасить процесс аутентификации пользователя.