Я пытаюсь разрешить пользователям публиковать сообщения в своем блоге с помощью текстовых сообщений. У меня есть номер телефона, сохраненный для каждого пользователя, и, поскольку twilio отправляет эту информацию в запросе на публикацию, который они отправляют на мою страницу, я могу выполнить обратный поиск, чтобы узнать, в каком блоге его нужно опубликовать. Теперь возникает вопрос, как я могу быть уверен, что пользователь отправил текст? Не может ли кто-нибудь просто отправить сообщение с чужим номером телефона?
У меня есть пара мыслей по этому поводу:
1. Twilio отправляет номер вашей учетной записи в сообщении, которое, я полагаю, не известно злоумышленникам.
2. Я мог бы ответить с помощью SMS, содержащего случайно сгенерированный код, и попросить пользователя отправить его обратно. Это фактически утроило бы потребности в SMS-сообщениях. Я бы предпочел первое.
Является ли номер один "достаточно безопасным"? Или я должен укусить пулю и сделать систему реагирования, как в номере два?