我有一个REST Api,用户可以通过以下路径注册:
- 发送验证码(/电话码(->2.验证码(/verify(->3.输入个人信息并注册(/注册(
在第二步中,如果输入的代码正确,我会将手机标记为已验证,在第三步中,我会检查手机是否标记为已确认。但想象一下,一个人验证手机,另一个人(比如黑客(试图跳过前两个步骤,触发/注册第一个人的手机。由于手机已经过验证,黑客成功注册。
所以问题是如何确保/注册安全?我想到的一个想法是在第二步和第三步对代码进行双重检查。但随之而来的是验证代码持续时间的增加,这不是很安全。你能给我一些更好的建议吗?
在使用cookie的服务上使用某种会话系统。当您注册并验证时,您会记住电话号码以及是否在会话中进行了验证。
你不应该再问电话号码,因为电话号码应该是已知的,并且在会话中。