我正在开发手机应用程序。 "注册" /"登录"机制应该在不输入任何用户名/密码对的情况下实施,并且将通过SMS确认码基于2F认证。
实现的常用方法此功能非常简单。用户在注册期间输入电话号码,服务器向他发送一次确认码。然后用户发送收到的代码,服务器验证它。如果一切正常,手机会收到访问令牌,将其保存在手机内存/数据库/本地存储中,并根据API的每个HTTP请求使用此令牌。
实现这种身份验证方式不是问题,但我想知道额外的安全性。
可以通过手机的确认码另外发送什么?也许是手机MAC地址(当然可能),随机生成的字符串(如哈希)或任何其他独特的标识符。当确认代码和第二个参数被发送时,服务器将保存它们并用于验证进一步的请求。
顺便说一句,我开发了一个带有Ionic Framework的混合移动应用程序。
提前致谢!