۱. دقیقا کارایی و هدف از استفاده از Login_Token چی هست و برای چه سناریویی اینو در نظر گرفتید ؟ ( جز اینکه کسی با حدس زدن مثلا موبایل و کد ورود به سیستم وارد نشه که این کار سخت هست )
۲. چه راهکاری و ایده ایی رو میدونید که جلوی ثبت نام ها و یا ارسال پیامک های اشتباه و فیک رو بگیریم ؟
ممکنه یک نفر وارد سایت بشه و تو فرم ثبت نام شماره موبایل های دیگران رو وارد کنه و اون افراد ثبت نام بشوند و یا پیامک دریافت کنند.
سلام وقت بخیر.
در خصوص سوال اول میشه برای ارسال دوباره کد ورود استفاده بشه که کاربر دوباره شماره موبایل ارسال نکنه حتی میشه ازش هم استفاده نکرد
سوال دوم هم ثبت نام که انجام میشه حالا چه به این روش چه ایمیل چون توی سناریو شما اون شخص به اطلاعات دسترسی داره و نمیشه مشخص کرد مگر اینکه برای کار های حساس تر تایید دو مرحله ای باشه که بازم اگه دسترسی داشته باشه به اون کد تایید که حالا sms شده یا ایمیل شده دسترسی داره در هر صورت
در خصوص سوال اول ( Login_Token ) با توجه به اینکه مکانیزم ما استفاده از Database هست و از مکانیزمی مثل JWT استفاده نمیکنیم برای پردازش اون , تقریبا بجز جلوگیری از حدس زدن پسورد (Brute Force یا Dictionary Attack ) تقریبا کارایی نداره.
ضمن اینکه ما باید از دیتابیس کوئری بگیریم بابت Login Token. میشه بجای اون توی کوئری دیتابیس هر دو Mobile , OTP رو چک کرد و همچنین یک فیلد Expire OTP هم قرار داد و بررسی کرد یکباره
Reza Moghadam
سلام وقت بخیر
۲ تا سوال دارم از خدمت شما
۱. دقیقا کارایی و هدف از استفاده از Login_Token چی هست و برای چه سناریویی اینو در نظر گرفتید ؟ ( جز اینکه کسی با حدس زدن مثلا موبایل و کد ورود به سیستم وارد نشه که این کار سخت هست )
۲. چه راهکاری و ایده ایی رو میدونید که جلوی ثبت نام ها و یا ارسال پیامک های اشتباه و فیک رو بگیریم ؟
ممکنه یک نفر وارد سایت بشه و تو فرم ثبت نام شماره موبایل های دیگران رو وارد کنه و اون افراد ثبت نام بشوند و یا پیامک دریافت کنند.
با تشکر
علی شیخ
9 ماه پیش
سلام وقت بخیر.
در خصوص سوال اول میشه برای ارسال دوباره کد ورود استفاده بشه که کاربر دوباره شماره موبایل ارسال نکنه حتی میشه ازش هم استفاده نکرد
سوال دوم هم ثبت نام که انجام میشه حالا چه به این روش چه ایمیل چون توی سناریو شما اون شخص به اطلاعات دسترسی داره و نمیشه مشخص کرد مگر اینکه برای کار های حساس تر تایید دو مرحله ای باشه که بازم اگه دسترسی داشته باشه به اون کد تایید که حالا sms شده یا ایمیل شده دسترسی داره در هر صورت
Reza Moghadam
9 ماه پیش
تشکر از پاسخ شما
در خصوص سوال اول ( Login_Token ) با توجه به اینکه مکانیزم ما استفاده از Database هست و از مکانیزمی مثل JWT استفاده نمیکنیم برای پردازش اون , تقریبا بجز جلوگیری از حدس زدن پسورد (Brute Force یا Dictionary Attack ) تقریبا کارایی نداره.
ضمن اینکه ما باید از دیتابیس کوئری بگیریم بابت Login Token. میشه بجای اون توی کوئری دیتابیس هر دو Mobile , OTP رو چک کرد و همچنین یک فیلد Expire OTP هم قرار داد و بررسی کرد یکباره
با تشکر از شما
علی شیخ
9 ماه پیش
بله به این شکل هم میشه
عموما روش های متفاوتی برای حل یک مسئله هست در دنیایی برنامه نویسی