无密码 SMS 身份验证 - 令牌过期和安全

Passwordless SMS authentification - Token expiration & Security

我希望为目前正在生产的移动应用程序实施无密码解决方案。目的是通过取消使用密码使用户的登录过程更加顺畅。由于该应用程序仅适用于移动设备,并且 phone 用户数量已用作用户名,我觉得使用 Twilio 生成 OTP(一次性密码)登录的解决方案是一个不错的选择。

尽管如此,今天当用户登录时,身份验证令牌没有到期日期(他永远保持登录状态)。我想知道使用 OTP 生成这种无限制(或非常持久)的身份验证令牌是否会被视为安全问题。是否有一些最佳实践需要考虑,例如刷新令牌或其他...

要明确我的问题是:

将 OTP 与 SMS 一起使用是否被视为保持始终登录到应用程序的良好做法?你认为我的推理有什么缺陷吗?

谢谢!

https://bere.al/en,Bereal使用这个系统来授权用户。 当您 change/lose 您的 SIM 卡时,我们遇到了问题。 但我没有发现任何安全问题。