Авторизация пользователя по номеру телефона и смс коду?

Question

[SM_ST]

Добрый день
Задача:
Сделать авторизацию по номеру телефона без пароля, то есть пользователь вводит пароль, ему на телефон идет код, если код верен, то авторизуем его в системе, если нет, то ошибку

на текущий момент реализовал так, но верно ли?

public function login(Request $request)
    {

        $sms = SmsCode::where('code', '=', $request->code)->where('is_check', '=', 0)->first();
        
        if (!$sms) return response()->json(['error' => false, 'message' => 'Неверный код']);

        $user = User::where('phone', '=', $sms->phone)->first();

        if (empty($user)) {
            if (!$sms) return response()->json(['error' => false, 'message' => 'Пользователь отсутствует']);
        }

        if(! $token = Auth::login($user)){
            return response()->json(['error' => 'Unauthorized'], 401);
        }

        $sms->is_check = 1;
        $sms->updated_at = Carbon::now();
        $sms->save();

        return $this->createNewToken($token);
    }

Answer 1

[Sanes]

Такие вещи обычно делаются через Middleware. Есть же пример verified.

Comments

[SM_ST]

?

[Sanes]

посмотрите, как реализован Middleware verifed и сделайте по аналогии, только СМС.

[jazzus]

Sanes, что мидлваря здесь будет делать? Валидировать форму и сохранять в бд?

[Sanes]

jazzus, не здесь, а вообще. Пример есть из коробки.

[Константин Б.]

какие еще Middleware? Сдрасьте приехали. Ему нужен метод Аутентификации и получения токена, а не проверка этого токена при каждом запросе

[Sanes]

Константин Б.,
проехали. Я вас на работу не возьму.

[Sanes]

Константин Б., всё реализовано уже, так просто.

Answer 2

[Владимир Кохан]

1. Человек в первой форме регистрации вводит лишь свое имя и телефон
2.Контроллер проверяет, есть ли такой номер телефона в БД, если нет, то идем дальше
3. Генерируем 6-значный код для подтверждения телефона, через сторонний API отсылаем смску на телефон, а также сохраняем данный код в сессию пользователя.
4. На фронте показываем ему следующий экран, т.е. форму ввода кода подтверждения.
5. Человек вводит код, он зарегистрирован (дальше все действия понятны

Comments

[SM_ST]

я вроде так и написал) вы переписали мой вопрос)

Answer 3

[jazzus]

Создать LoginRequest прописать там указанные проверки смс и юзера(custom rule, exists зависит от логики) и сообщения.

Зачем нужно это

if(! $token = Auth::login($user)){
    return response()->json(['error' => 'Unauthorized'], 401);
}

непонятно
знак = в where можно не ставить
empty в if можно не использовать
updated_at и так обновляется при обновлении модели.

Answer 4

[Константин Б.]

Есть вариант бомбовый, но требует навыков немного, я делал на нескольких сайтах вход по телефону на firebase
У них есть SDK для PHP, а также готовая реализация на фронте. Все что нужно это выпонить аутентификацию на фронте по телефону, далее от firebase прилетает токен, токен отправляете на бек, с помощью PHP SDK с бека отправляете запрос на получение пользователя по токену, приходит в ответ юзер и его телефон, ищете пользователя в базе по номеру и логините его. Как бонус получаете 10 тысяч бесплатных входов в месяц на все номера и еще 10 тысяч на номера из США
Тоесть экономите 20-30 тысяч в месяц на смсках