Rate Limiting
Limitation par IP
- Maximum : 10 OTP par adresse IP par heure
- Délai de blocage : 1 heure après dépassement
- Recommandation : Implémenter un rate limiting côté client également
Limitation par numéro
- Fréquence : Éviter d'envoyer plusieurs OTP au même numéro en peu de temps
- Recommandation : Attendre au moins 1 minute entre deux envois
Sécurité des données
- Les codes OTP sont stockés de manière sécurisée
- Les numéros de téléphone sont masqués dans les logs
- Les tokens de vérification expirent après 10 minutes
- Limitation automatique des tentatives de vérification
Bonnes pratiques
- Validation côté client : Valider le format du numéro avant l'envoi
- HTTPS uniquement : Utiliser HTTPS pour toutes les requêtes
- Stockage sécurisé : Ne jamais stocker les codes OTP en clair
- Expiration : Gérer l'expiration des tokens côté client
- Logging : Logger les tentatives de vérification pour la sécurité