理解移动应用程序的无密码注册

Question

基于电话号码的认证是如何工作的，它的最佳实践是什么？

我注意到，有些应用程序有简化的登录/登录流程，只需要一个电话号码，然后通过SMS发送给用户的验证代码。一个很好的例子是约会应用铰链。

我真的不明白这是如何工作的，因为在不涉及秘密/密码的情况下，它似乎有点不安全，而且出现了一些明显的边缘情况，比如：

1. 如果用户切换电话号码会发生什么？他们能进入他们的帐户或需要通过某种客户服务吗？你要怎么证明新主人和旧号码有关系？如果其他人后来获得了原始帐号，他们能访问原始帐户吗？
2. 是否需要跟踪设备信息，以确定新设备何时使用电话号码进行身份验证？

我似乎找不到关于短信认证的教育内容，非常感谢您能分享一些智慧或指向好的资源！

Answer 1

如果你想一想，它是相当安全的。

1. 用户安装应用程序
2. 单击“注册”、“输入名称”、输入电话号码、获取SMS、单击“确认”

在这里，应用程序可以生成一个唯一的Id，作为帐户Id和一个没有显示给用户的随机密码，以及用户知道的用户名和电话号码。

然后，应用程序可以登录到服务器端服务器，并获得一个长时间的刷新令牌。

几乎和注册任何服务一样，只是用户已经忘记了他们的密码。

• 手机被毁了。

用户再次通过短信确认购买新的手机下载应用程序和“重置密码”。

• 用户更改电话号码

用户在手机中安装新的sim并加载应用程序。该应用程序仍然有存储帐户的详细信息，所以您可以登录和更改您的号码。

• 用户丢失电话并更改电话号码

好吧，你已经完蛋了，但是如果你忘记了你的电子邮件，而没有设置其他的联系方式，你会比说的更糟糕吗？

想必，任何应用提供商也可以有一个“添加您的电子邮件”或“添加三因素auth”的设置，如果它的关切。

• 用户的电话被克隆(其他人获得他们的电话号码)

这里我们也有风险，因为很难区分这和“应用程序被删除”场景之间的区别。

即使如此，您也可以检测到同一台设备同时连接到更多的设备，并警告用户。