안녕하세요!
PHP 코딩만 조금 할 줄 아는 초보자 입니다....
비스므리한 기능을 만들어야 할 것 같은데...
핸드폰 본인인증 알고리즘은 어떤 흐름으로 흘러갈까요?
구축 조건은...
- 사용자들이 자신의 전화번호를 입력 후 인증메시지를 받아볼 수 있도록해야함.
- 단, 사용자가 이용하는 홈페이지와 인증업체는 별개.
- 즉~ 여러 다른 싸이트에서 인증업체로 전화번호 데이터를 넘겨야함
이메일 인증은 직접 만든적이 있었는데요...
사용자한테 이메일과 비번을 입력 받고, 시간을 변수로 일정길이의 랜덤 문자열을 만들고....
해당 이메일로 랜덤 문자열이 포함된 URL을 보내서 일정 시간 내에 해당 주소로 누구나 접속을 해오면 해당 이메일을 활성화 시켰었습니다...
그런데... 생각해보면 핸드폰 본인인증은 조금 흐름이 다를거 같더라구요.
어떤 흐름이 맞을지 상상은 해보는데 그게 맞는건지.... 궁금하네요 ㅠㅠ
핸드폰 본인인증 상상 흐름도....
- 사용자로부터 전화번호를 입력 받는다.
- 6자리의 랜덤 숫자를 생성한다.
- 랜덤 숫자와 사용자의 IP를 DB에 저장한다.
- 사용자에게 인증 번호 입력 창을 띄운다.
- 사용자 핸드폰으로 인증 번호를 보내준다.
- 사용자가 인증 번호를 입력한다.
- 입력된 인증 번호와 IP를 가지고 DB에서 검색한다.
- 입력된 인증 번호와 DB에서 검색된 인증 번호가 일치하는지 여부에 따라 TRUE나 FALSE 를 반환한다.
여러가지 궁금증이 생깁니다...
1. 암호화는 하지 않는가?
핸드폰 인증 서비스의 경우 외부 서비스인 경우가 많은데...
이럴때 전화번호를 GET이든 POST든 넘겨야하지 않나요?
그렇게 되었을때 중간에 캡쳐당하면 다 보일텐데...
단방향 암호화로는 안될 것이고, 이땐 암호화를 시켜서 넘긴 후 복호화를 시켜서 인증번호를 전송할까요?
아니면 그냥 쌩으로 넘길까요?
것도 아니면 아예 팝업창을 띄운 후 팝업창 자체가 인증업체 싸이트이고...
결과만 리턴을 해줄까요? 리턴은 또 어떻게.... ?
2. 리턴에 대한 궁금증
1번에서... 아예 팝업창 자체를 인증업체 싸이트 팝업창이면 전송 중간 과정에서 암호화는 필요 없겠구나... 싶었는데,
그러면 리턴은 어떻게 해주나요?
아는 웹언어가 PHP에.. CSS 읽는 것 뿐이라...;;;;;
자바스크립트는 읽긴 읽는데... 장님 수준... ㅠㅠ
혹은 curl 로 원본싸이트 어딘가를 읽을까요????
3. 전화번호를 저장해야할까?
개인정보인데... 암호화해서 저장하면 저장해도 되는걸까요?
(물론 사용자의 동의를 얻어야 할테구요)
만약 저장한다면... 팝업창을 이용한 인증이 아니라, 자체적으로 인증을 해야할텐데....
어떻게 인증업체로 데이터를 넘기는걸까요? GET? POST? 이거에 대한 궁금증이 다시 원점으로 ㅋㅋㅋ
4. 인증번호의 생성은 어디서해야할까?
1번에서 고민한 두가지 방법.. 중 (1)전화번호를 넘겨서 인증 받음... 방법을 사용할때...
인증번호의 생성은 어디서 하는게 맞을까요?
사용자가 이용하는 싸이트에서 생성하고 일치여부를 확인한다면... 구축하는데 있어서 손이 많이 갈 것이고....
인증번호도 인증 업체로 넘기게 된다면... 이 역시 중간에 캡쳐해서 인증번호를 알아낼 수 있을거 같구요.
만약 넘겨야 한다면 인증번호를 암호화?!
혹시 아시는 분 계시면 살짝 힌트라도 부탁드립니다. ^^;;;
어느 방법이 안전한 것인지, 또 어떤 방식으로 돌아가는지가 궁금하네요...
본인삭제금지
글쓰기