Web API アプリケーションに OTP ベースの認証を実装したいと考えています。OTP認証についていくつかのアイデアがあります。OTP の場合、ランダムな英数字を生成しました。これをデータベースに保存しました。そして、この OTP をユーザーの携帯電話に送信します。ユーザーはこの OTP を送信し、この OTP を db と照合します。これが通常の流れです。私はそれをもっと確保する必要があります。つまり、sha256 で OTP をハッシュする必要があります。次に、このハッシュ値を DB に格納します。ここまでは大丈夫です。次のステップから、この OTP をプレーン テキストとしてユーザー モバイルに送信しますか。次に、モバイル クライアント アプリケーションはこの OTP をプレーン テキストとして渡します。このプレーン テキストの OTP をサーバーでハッシュし、これを DB と比較しますか? それは正しいですか? または プレーンテキストの代わりに, OTP をハッシュとしてユーザーの電話番号に渡しますか? そうですか, 安全ですか. 私はこれについて少し混乱しました。
私を助けてください。