我想为我的Web API应用程序实现基于OTP的身份验证。我对OTP身份验证有一些了解。 对于OTP,我们生成了一个随机的字母数字,我将它存储在我的数据库中。并将此OTP发送到用户手机。用户将提交此OTP并使用db提交此OTP。 这是正常的流程。 我需要更多地保护它,这是可能的。意味着,需要通过sha256对OTP进行哈希处理。然后我想在DB中存储这个散列值。到这里很好。 从下一步开始,我应该将此OTP作为纯文本发送到用户移动设备。然后移动客户端应用程序将此OTP作为纯文本传递,在服务器中将此纯文本OTP哈希并将其与DB进行比较? 它是否正确,或者不是纯文本,我是否想将OTP作为哈希传递给用户电话号码,是这样,是否安全。 我对这一点感到困惑。
请帮帮我。