Как правильно хранить SMS-коды?

Question

[ITDown]

Имеется регистрация/авторизация где я отправляю код на номер телефона, данный код я сохраняю в базе на 5 мин, при каждой отправки кода я удаляю все коды в базе, дабы их не дублировать пользователю. Также у меня будут настройки где пользователь сможет сменить номер, но также при помощи SMS-кода. Нужно ли для каждого кода указывать тип для чего данный код? Сбрасывать нужно все коды или только все коды определенного типа при каждом запросе?

Под типом я подразумеваю: смена номера, авторизация и т.д. Была идея просто отправлять первый изначальный код если он не просрочен. Но в чем разница? Вроде разницы нет :

Comments

[Everything_is_bad]

KISS - "Keep it simple, stupid" ну вот реально будь проще, зачем как-то переусложнять, делай как можно проще, усложнения добавляй потом, когда они тебе реально требуется.

В итоге, создал код, пофиг на какое действие, записал его юзеру, юзер пришел с кодом, проверил соответствие, выполнил действие, удалил код у юзера. Разделение на действие нужно, если у тебя реально возникают коллизии

Answer 1

[Aza Broflovski]

Да, у кода должен быть тип (auth, change_phone, reset_password и т.п) иначе будут коллизии, один процесс может перетереть код другого, удаляй коды конкретного типа (не все подряд)

Всегда создавай новый код при запросе, даже если старый ещё жив, юзер может потерять смску или просто передумал и начал делать чето еще что тоже требует смску

Что бы не долбили смсками, делаешь throttle

Answer 2

[Антон Антон]

ИМХО можно удалять только по протуханию, а то возможна ситуация, когда пользователь нажал за напрос кода, он не пришел, нажал на повторный запрос - приходит первая СМС, он вводит - неправильно.
Естественно, надо ограничивать количество запросов смс на номер например раз в минуту, но не больше чем 5 раз в час. ну и с одного ip - тоже, не более, допустим, 10 запросов в час

Comments

[ITDown]

Так а если он 5 кодов себе отправит, то любой из кодов будет рабочим. Норм?

[Антон Антон]

ITDown, ну вот меня так одно приложение в итоге забанило. первая смс не пришла, потом вторая не пришла, потом пришла первая, потом третья, потом вторая. или третья, первая, вторая. в общем, я ввел первый и последний пришедшие коды - и они не подошли. а на третьем меня забанили.

[rPman]

Главное что бы у кода было время жизни, а вот то что одновременно работают несколько это хорошо

При срабатывании кода удалить все! Коды должны быть одноразовыми.

[maksam07]

Антон Антон,

ну вот меня так одно приложение в итоге забанило. первая смс не пришла, потом вторая не пришла, потом пришла первая, потом третья, потом вторая. или третья, первая, вторая. в общем, я ввел первый и последний пришедшие коды - и они не подошли. а на третьем меня забанили.

Я видел систему, как мне кажется - лучше. Она отправляла один и тот же код, когда запрашиваешь его повторно. Грубо говоря, если для "операции" уже присвоен какой-то код, то пытаемся пользователю именно его же и прислать, а не заново генерировать новый. А если срок вышел или код для "операции" еще не присвоен, то генерируем новый.

[ITDown]

maksam07, во, я об этом же. Тип отсылать повторный код до его истечения :)