Реализация авторизации через номер телефона с SMS-кодом на сайте
Аутентификация через SMS-код (OTP) — стандарт для российского рынка в e-commerce, сервисах доставки, финтехе. Пользователь вводит номер телефона, получает 4–6 значный код в SMS, вводит его — и авторизован. Вопрос пароля при этом либо отсутствует, либо задаётся отдельно после первого входа.
Провайдеры SMS для России и СНГ
| Провайдер | Особенности |
|---|---|
| SMSC.ru | Популярный, есть HTTP API и SMPP |
| SMS.ru | Простой API, хорошая доставляемость |
| Exolve (МТС) | Оператор уровня, виртуальные номера |
| Infobip | Международный, дорогой, надёжный |
| Twilio | Международный, недоступен в РФ без VPN |
| FirebaseSMS | Для мобильных приложений, не для веба |
Для большинства веб-проектов в России — SMSC.ru или SMS.ru.
Архитектура флоу
1. POST /auth/phone/send-code { phone: "+79001234567" }
→ валидация номера
→ генерация OTP
→ сохранение hash(OTP) в Redis с TTL 5 мин
→ отправка SMS
→ ответ: { expires_in: 300 }
2. POST /auth/phone/verify { phone: "...", code: "123456" }
→ проверка OTP из Redis
→ создание/поиск пользователя
→ выдача сессии или JWT
Генерация и хранение OTP
class PhoneOtpService
{
public function sendOtp(string $phone): int
{
$this->checkRateLimit($phone);
$code = str_pad(random_int(0, 999999), 6, '0', STR_PAD_LEFT);
// Хранить хэш, не сам код
Cache::put(
"phone_otp:{$phone}",
[
'hash' => hash('sha256', $code),
'attempts' => 0,
],
now()->addMinutes(5)
);
$this->smsProvider->send($phone, "Ваш код: {$code}");
return 300; // expires_in seconds
}
public function verifyOtp(string $phone, string $code): bool
{
$data = Cache::get("phone_otp:{$phone}");
if (!$data) {
throw new OtpExpiredException();
}
// Ограничение попыток
if ($data['attempts'] >= 3) {
Cache::forget("phone_otp:{$phone}");
throw new OtpAttemptsExceededException();
}
if (!hash_equals($data['hash'], hash('sha256', $code))) {
Cache::put("phone_otp:{$phone}", array_merge($data, [
'attempts' => $data['attempts'] + 1,
]), now()->addMinutes(5));
return false;
}
Cache::forget("phone_otp:{$phone}");
return true;
}
}
Rate limiting
// Не более 3 SMS в час с одного номера
RateLimiter::for('sms-otp', function (Request $request) {
return [
Limit::perHour(3)->by('phone:' . $request->phone),
Limit::perMinute(1)->by('phone:' . $request->phone),
];
});
Нормализация номера телефона
use libphonenumber\PhoneNumberUtil;
$phoneUtil = PhoneNumberUtil::getInstance();
$parsed = $phoneUtil->parse($rawPhone, 'RU');
if (!$phoneUtil->isValidNumber($parsed)) {
throw new InvalidPhoneNumberException();
}
$normalized = $phoneUtil->format($parsed, \libphonenumber\PhoneNumberFormat::E164);
// +79001234567
Библиотека giggsey/libphonenumber-for-php — порт Google libphonenumber на PHP.
Интеграция с SMSC.ru
class SmscProvider implements SmsProviderInterface
{
public function send(string $phone, string $text): void
{
$response = Http::get('https://smsc.ru/sys/send.php', [
'login' => config('sms.smsc_login'),
'psw' => config('sms.smsc_password'),
'phones' => $phone,
'mes' => $text,
'fmt' => 3, // JSON
]);
$data = $response->json();
if (isset($data['error'])) {
Log::error('SMSC error', ['code' => $data['error_code'], 'message' => $data['error']]);
throw new SmsDeliveryException($data['error']);
}
}
}
Создание пользователя при первом входе
public function authenticate(string $phone): User
{
return User::firstOrCreate(
['phone' => $phone],
[
'phone_verified_at' => now(),
'name' => 'Пользователь',
]
);
}
UX-детали
- Показывать таймер обратного отсчёта до возможности повторной отправки
- Автофокус на поле кода после отправки
- Автосабмит при вводе последней цифры (если 6-значный код)
- Кнопка «Изменить номер» — возможность вернуться назад
Сроки работ
| Этап | Время |
|---|---|
| OTP-сервис + Redis | 1 день |
| Интеграция с SMS-провайдером | 0.5 дня |
| API эндпоинты + rate limiting | 0.5 дня |
| Frontend флоу (форма + таймер) | 1 день |
| Тесты + edge cases | 1 день |
Итого: 4–5 рабочих дней.