在IT技术中，SMS注册类似于移动应用程序：WhatsApp

这是一个基于Nexmo构建的简单的电话号码验证服务（免责声明，我为Nexmo做了一些开发者宣传）。我认为它基本上就是你要找的东西，其目标是验证号码是否确实属于用户（也可以用于二次因素身份验证）。

移动应用程序的基本集成（特别是针对此示例代码，但通常流程）：

• 发送要验证的电话号码，接收唯一哈希值。
• 验证系统向用户发送一个唯一的代码。
• 用户将该代码传递给您的应用程序后，将原始哈希和代码发送到验证系统进行验证。

您可以放弃托管部分，只需在应用程序内执行这些步骤（生成代码，通过SMS API发送，检查用户输入的代码）。然而，在那点上有几件事情需要考虑：

• SMS API的凭据被编译到您的分布式应用程序中。这是您想冒险的事情吗？
• 代码通过网络从设备发送；虽然SSL会阻止对代码的随意观察，但想要伪造注册的人可能更有可能从HTTP请求中捕获代码。

将验证系统放在移动应用程序之外可以解决这两个问题。

我知道这篇文章太老了，但这是给未来会访问此页面的人看的：

用户“Harsh Shah”所说的是错误的..

你不应该在设备上生成随机数！这会破坏整个验证。

1. 你要求用户输入电话号码，将其发送到服务器。
2. 作为该请求的响应，你需要生成一个随机数并将其保存在用户记录的数据库中，同时发送带有该随机数的短信。请求的响应应该是SENT-OK而不是NOT-SENT。
3. 设备接收到短信后，将其发送回服务器与现有的数据库记录进行比较。

数据交换：

1. 电话发送('012345567')->服务器响应('SENT-OK'); 在后台： 服务器：[生成数字，将其发送到SMS中，保存在编号为01234567的用户记录的数据库中，例如：123123]

[手机读取短信，例如'123123']

2. 电话发送('01234567'，'123123')->服务器响应('AUTH-OK');

在后台： 服务器：[检查记录用户01234567的数据库，将步骤1生成的随机数与用户发送的数字进行比较]。

如果你在用户手机上生成该数字，那么任何脚本小子都可以通过从内存/存储中提取该数字（非常容易）并模拟包含该数字的短信（同样容易）来攻击你的身份验证... 你可能认为这是一个罕见的情况，但这是安全上的一个重大漏洞，如果像“Harsh Shah”所说那样做，你可以将自己验证为任何现有用户并窃取他们的数据...

1. 在设备上的应用中生成随机代码。要求用户提供手机号码。
2. 将此代码和手机号码发送到运行在服务器上的应用程序中。
3. 调用短信网关API，将代码作为消息发送到指定的手机号码。

1. 首先，用户的手机号码将发送到我们的服务器，新用户行将被创建。

2. 我们的服务器向短信网关请求向该手机号码发送带有验证码的短信。

3. 短信网关向用户设备发送带有验证码的短信。

4. 验证码将再次发送回我们的服务器进行验证。我们的服务器对其进行验证并激活用户。