Non hai bisogno di AJAX o altro che usare i comandi POST su un canale sicuro.
Ad un livello molto alto questi sono i passaggi:
Passaggio 1 - La pagina di registrazione.
Utilizza https per tutte le pagine di registrazione che includono informazioni riservate. Poiché l'utente invierà il proprio indirizzo e-mail e numero di telefono, questo deve essere https.
- Pubblica le informazioni sull'account, incluso il numero di telefono in cui si trova il
Gli SMS devono essere inviati a
- Crea un codice di verifica casuale
- Memorizza il codice di verifica insieme al nuovo account registrato
Informazioni
- Invia il messaggio SMS solo con il codice di verifica
Quindi reindirizza l'utente alla pagina di verifica. Questa pagina deve solo accettare il codice di verifica. Ricorda che tutto ciò che stai facendo è garantire che la persona che ha accesso al telefono sia anche la stessa persona con le informazioni dell'account. Non puoi impedire a qualcuno di essere malizioso se ha il telefono di qualcun altro. Il telefono si chiama "Qualcosa che hai" in termini di sicurezza.
Passaggio 2 : la pagina di verifica
- Pubblica il codice di verifica. Questo presuppone che tu stia utilizzando uno qualsiasi di
il numero di tecnologie che traccia lo stato tramite gli ID di sessione.
- Cerca l'ID account in memoria utilizzando la sessione corrente. Questo
le informazioni dovrebbero già essere prontamente disponibili. Allora conferma quello
il codice di verifica è lo stesso che è memorizzato nel
Banca dati. Questa non è una password, quindi non vedo un motivo per cancellarlo
informazione. È un codice da buttare da un utente. Non importa se
qualcun altro lo riceve più tardi.
- Se il codice di verifica corrisponde, contrassegna l'utente come verificato. Ora tu
sapere che questo account ha accesso a un numero di telefono specifico.
Ho incluso un diagramma rudimentale per riferimento.