Как спроектировать OTP-сервис с мобильным приложением и интегрировать его в существующий сайт?

Для проектирования OTP-сервиса с мобильным приложением и интеграции в существующий сайт нужно учесть несколько ключевых аспектов:

1. Генерация и хранение OTP: OTP должны быть уникальными, одноразовыми и иметь ограниченный срок действия (например, 5 минут). Для хранения можно использовать быстрые in-memory базы данных, например Redis, с TTL.

2. Безопасность: OTP должны передаваться по защищённым каналам (HTTPS), а также храниться в зашифрованном виде или не храниться вовсе, если используется алгоритмическая генерация (например, TOTP).

3. Мобильное приложение: В мобильном приложении реализовать интерфейс для ввода OTP и взаимодействие с сервером через API. Можно использовать push-уведомления или SMS для доставки OTP.

4. Интеграция с сайтом: На сайте добавить механизм запроса OTP (например, при входе или подтверждении действий). Сайт должен отправлять запросы на сервер OTP-сервиса и проверять введённый код.

5. API для взаимодействия: Создать RESTful API с методами для генерации, отправки и проверки OTP.

6. Логирование и мониторинг: Вести логи попыток генерации и проверки OTP для обнаружения подозрительной активности.

Пример упрощённого API на Go для генерации и проверки OTP:

var otpStore = make(map[string]string) // userID -> OTP

func generateOTP(userID string) string {
    otp := fmt.Sprintf("%06d", rand.Intn(1000000))
    otpStore[userID] = otp
    go func() {
        time.Sleep(5 * time.Minute)
        delete(otpStore, userID)
    }()
    return otp
}

func verifyOTP(userID, otp string) bool {
    if val, ok := otpStore[userID]; ok && val == otp {
        delete(otpStore, userID)
        return true
    }
    return false
}

В реальной системе стоит использовать Redis с TTL вместо map, а также обеспечить доставку OTP через SMS или push.