Регистрация по номеру телефона?

Question

[ITDown]

Пишу авторизацию/регистрацию по номеру телефона. Имеется два URL:
/api/request - POST запрос для отправки кода, принимаю только номер телефона, делаю валидацию номер, также ограничиваю на отправку кол-во кодов.
/api/confirm - POST запрос на проверку кода. Вот тут я и попал в тупик. Какие тут должны быть проверки помимо проверки самого кода? Мой вариант реализации такой:
Принимаем номер (мы его знаем) и принимаем код от пользователя. Дальше просто проверяем код и все. Можно также ограничить на попытки спама кодов.

Честно говоря, полная реализация выглядит так себе для обеих УРЛОВ. Может, кто-то писал данную авторизацию, хочу увидеть реализацию или текст как я должен обрабатывать/проверять это.

Прошелся по сайтам где регистрация по номеру и там при отправки кода/проверки кода передаются какие-то токены. Судя по всему, токены создаются при заходе на сайт и все.

Мой код:

const { parsePhoneNumberFromString } = require('libphonenumber-js');

const isValidPhoneNumber = (phone, country) => {
    const parsePhoneNumber = parsePhoneNumberFromString(phone, country);

    if (!parsePhoneNumber || !parsePhoneNumber.isValid()) return null;
    return parsePhoneNumber;
}

exports.requestController = (req, res) => {
    const { phone } = req.body;

    const formattedNumber = isValidPhoneNumber(phone);

    if (!phone || !formattedNumber) {
        return res.status(400).json({ 
            message: 'Incorrect number' 
        })
    }
    return res.status(200).json(formattedNumber.formatInternational())
}

exports.confirmController = (req, res) => {
    const { phone, code } = req.body;

    res.json({ message: 'confirm code' })
}

Comments

[setupx]

Прошелся по сайтам где регистрация по номеру и там при отправки кода/проверки кода передаются какие-то токены. Судя по всему, токены создаются при заходе на сайт и все.

CSRF токены используются я думаю.

Answer 1

[knigaman]

Первый запрос = принимаем на сервере номер телефона, генерируем токен (случайная строка длиной, предположим, 64 символа - цифры, буквы большие и маленькие), отправляем его на клиент. Генерируем код доступа, отправляем его смской на телефон. В зависимости от логики можем и не отправлять (если допустим у нас метод для логина а такого юзера еще нет (он еще не зарегистрирован)).

Второй запрос = отправляем с клиента токен (тот 64 символьный полученный от сервера) и строку с кодом из смс. Проверяем на сервере токен и код из смс, если все ок - пускаем в аккаунт.

Примечания:
1) токены и сами попытки входа должны жить определенное количество времени, предположим 5 минут.
2) попытки ввода кода (неправильные вводы) должны быть ограничены разумным числом (ну допустим 5 попыток)
3) если можно то лучше код сделать длиннее - хотя бы 6 цифр, а лучше 8 и более.
4) попытки входа в аккаунт можно ограничить, но тогда будет можно абузить эту "фичу" и блокировать вход чувакам, тут выбираем меньшее из зол исходя из бизнес требований
5) можно экономить на смсках и доставлять код в последних цифрах номера / голосовой озвучкой, отправлять в вк, ватсап, телеграм, вайбер

500 айкью примечания для кое какой защиты от слива бюджета:
1) можно юзать капчу (можно не всегда а когда начинается аномалия по отправке кодов - всплеск количества отправок)
2) как уже и говорил разделение входа и регистрации
3) ставим бот защиту от какого нибудь сервиса по защите от ддос/бот атак
4) иногда можно не отправить код а отправить клиенту респонс что код отправлен, если клиент вводит код - скорее всего это атака. человек же запросит код повторно (потому что он тупо ему не пришел)
5) иногда можно отправить код не сразу а через предположим, 30 секунд - если ввели код раньше - значит что-то не так

Comments

[ITDown]

Токен как я понимаю на сервере нужно кидать в сессию или куки, верно? Ну, передавать данный токен объектом клиенту смысла нет, т.к. при отправки его можно будет перехватить тогда.

[knigaman]

ITDown, перехватить можно че угодно, поэтому разницы нет особой, делай как удобно. Я лично не пишу никогда токены в куки, передаю на клиент в теле ответа jsonом. На клиенте также никуда не сохраняю кроме переменной. То есть не пишу токен в куки/локалсторож или еще куда. Тупо const token = response.token

[ITDown]

knigaman, так тогда от этого смысла ведь нет. Даже если токен будет иметь срок жизни, то это можно будет понять и переделать запрос.

[ITDown]

knigaman, можно использовать HttpOnly куки, не?

[knigaman]

ITDown, принято сейчас использовать https соединение, где перехват токена затруднителен. Почти единственный путь - это вирус на устройстве пользователя, который вытащит токен откуда угодно, поэтому защищать токен особо смысла нет, тем более в промежутке 5 минут (время действия кода из смс и токена). Если кому то надо будет перехватить токен то он это сделает в любом случае как бы ты не защищался. Единственный плюс в таком случае httponly cookie это защита от зараженных библиотек фронтэнда которые могут сливать данные куда-то на сторону.

[SymphoGraph]

knigaman,

не пишу токен в куки/локалсторож или еще куда. Тупо const token = response.token

Это подразумевает, что пользователь логинится при каждом посещении?

[knigaman]

SymphoGraph, с чего бы это? В контексте вопроса автора токен это секретная строка, которую генерирует сервер и отдает клиенту при отправке кода смс. Этот токен используется чисто для того чтобы обезопасить процесс аутентификации пользователя.

[SymphoGraph]

knigaman, понял. Еще хотел бы спросить:

тогда будет можно абузить эту "фичу" и блокировать вход чувакам

Для этого нужно знать этих чуваков, как я понимаю...

[knigaman]

SymphoGraph, ну у нас в шкиле был прикол такой, я заметил что в электронном дневнике если 3 раза неправильно ввести пароль к учетке, а логины были циферные idшники, но не так что 1, 2, 3, 4, 5 и т.д., а просто 12 значные вроде или 10 значные циферные логины, они не были рандомными, а выделялись пулами на школы или еще как. Так вот, зная логин учетки можно было простым скриптом забанить вход учителя/завуча/директора или ученика в электронный дневник. Можно было это делать по кд (не давая вообще войти) или только когда учитель захочет зайти поставить оценки. Так вот, мне приснилось (мы так не делали), что один наш одноклассник написал тг бота в которого можно было добавлять логины учеток и выбирать как их банить (единоразово или на постоянке).

Тут тоже самое, если будет слита база номеров клиентов или она будет предсказуема (например, мы заранее знаем номера людей которые зареганы в сервисе) то мы сможем парализовать работу системы аутентификации для конкретного человека или веерно (просто тупо спамить запросы на все известные нам номера)). Если же разрабы поймут что никто не может зайти в свой кабинет то они начнут в панике либо снимать ограничения попыток входа, либо еще что делать, что позволит абузить уже бесконечные попытки входа/ввода кода из смс, что делает уязвимыми аккаунты пользователей.

В описанном выше случае уже применяют другие способы защиты, в том числе анализ данных с помощью машинного обучения. Если коротко и быстро то тупо ставят защиту от дудоса с блэкджеком и ... кхм кхм, защитой от ботов.