问题
在我们的系统中,我们有:
我们想添加一个身份验证服务器以保护我们的用户数据并允许用户连接到移动应用程序。该服务器将提供令牌以及Hubspot(承载用户信息)和API db中的用户之间的链接。该数据库将仅存储hubspot用户ID和api用户ID以及一些时间戳。我们希望使用通过短信发送的一次性密码。
工作流程如下:
- 用户想要连接到应用程序(是否是第一次)。该应用正在请求一个电话号码。
- 该电话号码将发送到验证服务器,该服务器将检查该电话号码是否在集线器中。如果用户电话号码存在但数据库中还没有,则意味着我们需要创建一个新用户(在auth服务器数据库中和api中)。如果用户号存在并且已经在数据库中,则无需执行任何操作。在这两种情况下,都会生成令牌,并且用户能够进行连接(仍然需要了解如何执行此操作)。如果集线器中不存在任何内容,则用户将无法在应用中进行身份验证。
问题
我朝着正确的方向前进吗?创建身份验证服务器,是个好主意还是完全没用?我们应该直接在API中实现逻辑吗?该系统是关于医疗信息的,应该保护数据。
关于OTP,如果电话号码确实存在,我们应该发送给用户什么? auth令牌还是需要实际令牌的随机字符串?