我想为我的 Web API 应用程序实现基于 OTP 的身份验证。我对 OTP 身份验证有一些想法。对于 OTP,我们生成了一个随机字母数字,我将其存储在我的数据库中。并将此 OTP 发送到用户手机。用户将提交此 OTP 并将此 OTP 与 db 进行匹配。这是正常的流程。我需要更多地保护它,这怎么可能。意味着,需要通过 sha256 对 OTP 进行哈希处理。然后我想将这个散列值存储在数据库中。到这里就好了。从下一步开始,我是否应该将此 OTP 作为纯文本发送到用户手机。然后移动客户端应用程序将此 OTP 作为纯文本传递,在服务器中散列此纯文本 OTP 并将其与 DB 进行比较?是否正确,或者不是纯文本,我是否想将 OTP 作为哈希传递给用户电话号码,是否正确,是否安全。我对此有点困惑。
请帮我。