我不確定我遇到過這個問題,所以也許你可以幫助我。 我爲Android應用程序構建了兩步驗證。兩步驗證 - 確保用戶仍在進一步的會話中驗證
- 用戶經由發送他從該應用服務器的電話號碼的https
- 服務器經由SMS(基於
Twilio/PHP) - 用戶接收該代碼,並可以驗證發送認證碼回用戶自己在 服務器
在這一點上我可以肯定的是用戶在密碼被髮送智能手機的認證所有者。
如果用戶現在重新啓動他的手機和他的應用程序後,如何確保該用戶仍然是相同的已驗證用戶? 我是否必須每次都根據認證碼向服務器發送某種憑據?這是一個安全和正確的方法來做到這一點?
謝謝,最好的問候!
Dopser被存儲同時顯示電話以及服務器數據庫上
如果其他用戶拿到手機,則無法通過短信區分。 – Joshua
發送每個請求的電話號碼,並在服務器上匹配,如果它是相同的,那麼用戶認證,如果沒有然後再根據需要要求驗證.. –