Регистрация через смс стоит ли делать временную таблицу?

Question

[pillson]

Делаю регистрацию через смс. Встал вопрос проверки некоторых случаев

1. Номер уже зарегистрирован (сделано) проверкой номера по базе
2. Ошибочный номер телефона (когда <11 знаков), так же висит маска + регулярка js на ввод только цифр + регулярка на бэкэ
3. Неверное смс - но тут встала сложность

Число генерирую через rand() и пишу его в базу юзера, привязка к номеру, получается он уже как бы внес в базу, это неправильно, думал передам через data в ответ аякса, увидел что код палится) не пойдет

Думаю сделать таблицу для временных промежуточных данных. Условно получаю данные из формы телефон и смс и пишу их туда. Потом сравниваю что пришло от пользователя и что в базе, если все ок, делаю insert в постоянную таблицу user иначе отдаю ошибку, думал сначала сделать пару полей в основной таблице но не стал, как будет все таки правильно подскажите. Спасибо

Comments

[Михаил]

Почему не redis?

[pillson]

Михаил, редис включен, но я не особо его знаю, чисто на уровне включить и проверить его наличие

[Михаил]

pillson, ну вот и зря что не знаете

[Vladislav]

А почему при генерации кода в смс, не записывать его в сессию, а потом уже сравнивать в сессии код и который ввел пользователь ?

[Михаил]

Да, или сессии

Форма регистрации,
Вводишь телефон, в сессию записывается число, и отправляется смс
При submit прост проверяешь

[neol]

Владислав, генерация и ввод кода могут происходить на разных устройствах. 2020 год на дворе.

[pillson]

Владислав, ну как таковой сессии при регистрации еще не существует, я могу ее сделать, вот вы подкинули вариант, теперь мы знаем что можно как я задал вопрос делать временную таблицу где хранить кучу данных, поступило предложение redis но я его не знаю, вот и собираю советы )

[Михаил]

Если клиент будет регаться дважды одновременно, то с фронта посылать уникальный ключ с формой, и так же на бэке его сравнивать

[pillson]

neol, есть сомнения что может не создастся сессия ? на каком либо устройстве?

[pillson]

Михаил, что то типа input type hidden с ключем? и генерировать его типа md5 так же писать в базу и тоже проверять ?

[pillson]

Михаил, и все же вопрос почему временная таблица это плохо? Я могу туда еще что то писать, время смс кода и его протухание например, флаг на блокировку после 3 попыток к примеру, так не пойдет?

[Михаил]

pillson,

Я открываю форму регистрации, ввожу данные и шлю запрос на получение кода

Бэкенд должен знать сам код, меня, дату
Я получаю код, ввожу в поле и отсылаю форму

На бэке нужно проверить что я вел правильный код

И вот именно это Я:КОД == Я:КОД в редисе/базе/где угодно

Это "Я" можеть быть сессией, номером телефона и хз еще чем

[pillson]

Михаил, Понял, я просто хотел понять какие еще способы могут быть предложены, ну и что временная таблица это не плохо, спасибо

[Михаил]

pillson, база будет захламляться, а в редисе есть экспирация записи

[pillson]

Михаил, понял, спасибо, буду изучать

Answer 1

[index0h]

Заводите отдельную таблицу.

CREATE TABLE IF NOT EXISTS `phoneAuthorisationCode` (
    `id` INT UNSIGNED NOT NULL AUTO_INCREMENT,
    `phoneId` INT UNSIGNED NOT NULL,
-- Код используется для авторизации, по этому хранить его в открытом виде очень плохая идея
    `codeHash` CHAR(16) NOT NULL,
    `createdAt` TIMESTAMP NOT NULL DEFAULT CURRENT_TIMESTAMP,
-- Код временный, если expiredAt > CURRENT_TIMESTAMP - он прострочен и использовать его уже нельзя
    `expiredAt` TIMESTAMP NOT NULL,
-- Дату использования кода необходимо указывать. Если это поле не пустое, использовать этот код уже нельзя
    `processedAt` TIMESTAMP DEFAULT NULL,
    PRIMARY KEY (`id`)
)
    ENGINE = InnoDB
    DEFAULT CHARSET = `utf8`;

Answer 2

[Владимир Коротенко]

храните в redus номер, код и дату когда можно повторить и количество попыток. Следующая попытка не ранее число попыток во 2 степени минут. Для борьбы со спамом.

Comments

[pillson]

не работал никогда с redus как и с redis

[Владимир Коротенко]

pillson, https://ruseller.com/lessons.php?rub=37&id=2289

См работа с множествами, ключ это ваш телефон. Впрочем можно и сериализовать объект в строку и хранить как строку