Настройка верификации телефона при заказе 1С-Битрикс
OTP-верификация телефона при оформлении заказа решает две задачи: подтверждает, что покупатель реально существует, и отсекает мошеннические заказы с ненастоящими номерами. Неверифицированные номера встречаются в 15-20% мошеннических заказов. В Битрикс OTP реализуется через событие создания заказа и SMS-шлюз.
Схема верификации
- Пользователь вводит номер телефона на странице заказа
- AJAX-запрос — генерируем OTP, сохраняем в сессии/кеше, отправляем SMS
- Пользователь вводит код
- AJAX-запрос — проверяем код, выставляем флаг «телефон подтверждён»
- При оформлении заказа — проверяем флаг, без него заказ не проходит
Генерация и отправка OTP
// /local/ajax/phone-otp-send.php
\Bitrix\Main\Application::getInstance()->initializeExtended();
$phone = preg_replace('/\D/', '', $_POST['phone'] ?? '');
$csrfOk = check_bitrix_sessid();
if (!$csrfOk || strlen($phone) < 10 || strlen($phone) > 15) {
http_response_code(400);
echo json_encode(['error' => 'Invalid request']);
exit;
}
// Лимит: не более 3 отправок на номер за 10 минут
$cacheKey = 'otp_attempts_' . md5($phone);
$attempts = (int)(\Bitrix\Main\Application::getInstance()
->getManagedCache()->get($cacheKey) ?? 0);
if ($attempts >= 3) {
echo json_encode(['error' => 'Слишком много попыток. Подождите 10 минут.']);
exit;
}
// Генерируем 6-значный код
$code = (string)random_int(100000, 999999);
$expiresAt = time() + 300; // 5 минут
// Сохраняем в сессии (или в Redis)
\Bitrix\Main\Application::getInstance()->getSession()->set('otp_data', [
'phone' => $phone,
'code' => password_hash($code, PASSWORD_DEFAULT),
'expires_at' => $expiresAt,
'verified' => false,
]);
// Инкрементируем счётчик попыток
\Bitrix\Main\Application::getInstance()->getManagedCache()->set($cacheKey, $attempts + 1, 600);
// Отправляем SMS через модуль Битрикс (SMS-провайдер настраивается в административной части)
$smsManager = new \Bitrix\MessageService\Sender\MessageManager('sms');
$result = $smsManager->enqueueMessage([
'MESSAGE_TO' => '+' . $phone,
'MESSAGE_BODY' => "Ваш код подтверждения: {$code}. Действует 5 минут.",
]);
echo json_encode([
'success' => $result->isSuccess(),
'expires_at' => $expiresAt,
'masked_phone' => '+' . substr($phone, 0, 3) . '***' . substr($phone, -2),
]);
Проверка кода
// /local/ajax/phone-otp-verify.php
\Bitrix\Main\Application::getInstance()->initializeExtended();
$inputCode = trim($_POST['code'] ?? '');
$session = \Bitrix\Main\Application::getInstance()->getSession();
$otpData = $session->get('otp_data');
if (!$otpData || time() > $otpData['expires_at']) {
echo json_encode(['success' => false, 'error' => 'Код истёк. Запросите новый.']);
exit;
}
if (!password_verify($inputCode, $otpData['code'])) {
echo json_encode(['success' => false, 'error' => 'Неверный код.']);
exit;
}
// Помечаем телефон как подтверждённый
$otpData['verified'] = true;
$session->set('otp_data', $otpData);
echo json_encode(['success' => true]);
Блокировка заказа без верификации
AddEventHandler('sale', 'OnBeforeOrderFinalAction', function(\Bitrix\Sale\Order $order) {
if ($order->getId() > 0) return new \Bitrix\Main\EventResult(\Bitrix\Main\EventResult::SUCCESS);
$otpData = \Bitrix\Main\Application::getInstance()->getSession()->get('otp_data');
$props = $order->getPropertyCollection();
$phone = preg_replace('/\D/', '', $props->getItemByOrderPropertyCode('PHONE')?->getValue() ?? '');
if (empty($otpData['verified'])
|| !$otpData['verified']
|| $otpData['phone'] !== $phone)
{
return new \Bitrix\Main\EventResult(
\Bitrix\Main\EventResult::ERROR,
new \Bitrix\Main\Error('Пожалуйста, подтвердите номер телефона.')
);
}
// Сбрасываем OTP после использования
\Bitrix\Main\Application::getInstance()->getSession()->delete('otp_data');
return new \Bitrix\Main\EventResult(\Bitrix\Main\EventResult::SUCCESS);
});
Фронтенд: форма ввода кода
class PhoneVerification {
constructor(formSelector) {
this.form = document.querySelector(formSelector);
this.phoneInput = this.form?.querySelector('[name="PHONE"]');
this.otpBlock = document.createElement('div');
this.countdown = null;
}
init() {
this.phoneInput?.addEventListener('blur', () => this.showOtpRequest());
}
async sendOtp() {
const phone = this.phoneInput.value;
const res = await fetch('/local/ajax/phone-otp-send.php', {
method: 'POST',
headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
body: `phone=${encodeURIComponent(phone)}&sessid=${BX.bitrix_sessid()}`,
}).then(r => r.json());
if (res.success) {
this.showCodeInput(res.expires_at, res.masked_phone);
} else {
this.showError(res.error);
}
}
showCodeInput(expiresAt, maskedPhone) {
this.otpBlock.innerHTML = `
<p>Код отправлен на ${maskedPhone}</p>
<input type="text" id="otp-code" maxlength="6" inputmode="numeric"
autocomplete="one-time-code" placeholder="_ _ _ _ _ _">
<button type="button" id="verify-btn">Подтвердить</button>
<span id="otp-timer"></span>
`;
this.startCountdown(expiresAt);
document.getElementById('verify-btn').addEventListener('click', () => this.verifyCode());
}
async verifyCode() {
const code = document.getElementById('otp-code').value;
const res = await fetch('/local/ajax/phone-otp-verify.php', {
method: 'POST',
headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
body: `code=${encodeURIComponent(code)}&sessid=${BX.bitrix_sessid()}`,
}).then(r => r.json());
if (res.success) {
this.otpBlock.innerHTML = '<p class="verified">✓ Телефон подтверждён</p>';
clearInterval(this.countdown);
// Разблокируем кнопку оформления заказа
document.querySelector('.btn-checkout-submit')?.removeAttribute('disabled');
} else {
document.getElementById('otp-code').classList.add('is-error');
}
}
startCountdown(expiresAt) {
const timer = document.getElementById('otp-timer');
this.countdown = setInterval(() => {
const left = Math.max(0, expiresAt - Math.floor(Date.now() / 1000));
timer.textContent = `Код действителен ${left} сек`;
if (left === 0) {
clearInterval(this.countdown);
timer.textContent = 'Код истёк. Запросите новый.';
}
}, 1000);
}
}
SMS-провайдеры в Битрикс
Модуль messageservice поддерживает несколько провайдеров из коробки: SMS.ru, SMSC.ru, MessageBird. Настройка через административную часть: Настройки → SMS-сервисы. Кастомный провайдер подключается как класс, реализующий интерфейс \Bitrix\MessageService\Sender\Base.
Сроки реализации
| Конфигурация | Срок |
|---|---|
| OTP (send + verify + блокировка заказа) | 2–3 дня |
| + фронтенд с таймером и обратной связью | +1–2 дня |
| + кастомный SMS-провайдер | +1 день |