OCTOMO — API ยืนยันตัวตนด้วยหมายเลขมือถือแบบที่ลูกค้าเป็นผู้ส่ง SMS เอง (MO)
(octomo.octoverse.kr)นี่คือ API ยืนยันตัวตนด้วยมือถือที่ทำขึ้นโดยพลิกทิศทางเดิม เพราะทุกครั้งที่เพิ่มการยืนยันตัวตนตอนสมัครสมาชิกในบริการ ค่าจัดส่ง SMS กลายเป็นภาระที่ไม่น้อย
การยืนยันด้วย SMS แบบเดิมคือบริการจะเป็นฝ่ายส่งข้อความยืนยันไปหาผู้ใช้ (MT, Mobile Terminated) โดยมีค่าใช้จ่ายต่อข้อความ 9~50 วอน และยังมีค่าบริการรายเดือนพื้นฐาน ทำให้ยิ่งผู้ใช้เพิ่ม ต้นทุนก็ยิ่งสูงขึ้น อีกทั้งจากเรื่องสัญญาและการตรวจสอบ บางครั้งกว่าจะเชื่อมต่อได้ก็ใช้เวลา 1~2 สัปดาห์
OCTOMO กลับทิศทางตรงกันข้าม (MO, Mobile Originated) ผู้ใช้ใช้โทรศัพท์ของตัวเองส่ง SMS ที่มีโค้ดยืนยันไปยังหมายเลขที่กำหนด แล้วบริการเพียงตรวจสอบข้อความที่รับเข้ามาผ่าน API เท่านั้น เนื่องจากผู้ส่งข้อความคือผู้ใช้เอง ฝั่งบริการจึงไม่เกิดค่าใช้จ่ายในการส่ง และเพราะผู้ใช้ส่งข้อความจากอุปกรณ์นั้นจริง จึงถือเป็นการยืนยันการครอบครองอุปกรณ์ได้
ขั้นตอนที่แนะนำคือ เมื่อกดปุ่มยืนยัน จะเปิดแอปข้อความขึ้นมาโดยกรอกหมายเลขปลายทางและโค้ดยืนยันไว้เรียบร้อยแล้ว จากนั้นผู้ใช้เพียงกดปุ่มส่งเท่านั้น (
sms:ดีพลิงก์จึงเป็นส่วนที่ต้องทำในฝั่งฟรอนต์เอนด์ แต่บนมือถือวิธีนี้ถือเป็นแนวทางมาตรฐาน) ทำให้ไม่ต้องกังวลเรื่องกรอกหมายเลขผิดหรือพิมพ์โค้ดผิด และช่วยลดอัตราการล้มเหลวไปพร้อมกันAPI แทบจะมีเพียงเอ็นด์พอยต์เดียว
POST /octomo/v1/public/message/exists
- อินพุต: หมายเลขโทรศัพท์มือถือ + โค้ดที่ผู้ใช้ส่ง
- เอาต์พุต: ภายใน 5 นาทีล่าสุด มีการรับข้อความที่มีโค้ดดังกล่าวหรือไม่ (
verified: true/false)โฟลว์การเชื่อมต่อค่อนข้างง่าย: "แตะปุ่ม → เปิดแอปข้อความอัตโนมัติ (กรอกหมายเลขและโค้ดอัตโนมัติ) → ผู้ใช้กดส่ง → เรียก API นี้แล้วถ้าได้ true ก็ผ่าน" ไม่ต้องติดตั้งแอปเพิ่มเติมหรือใช้ SDK แค่เรียก REST ก็พอ และมีตัวอย่างสำหรับ Node/Java/Python ใส่ไว้ในเอกสารแล้ว
ขอพูดถึงข้อจำกัดอย่างตรงไปตรงมาด้วย
- แม้จะลดภาระการกรอกด้วยดีพลิงก์ได้ แต่ผู้ใช้ยังต้องกดปุ่มส่งเพิ่มอีกหนึ่งครั้งอยู่ดี (เป็น trade-off กับต้นทุนการส่ง 0 วอนและการยืนยันการครอบครองอุปกรณ์ที่เข้มแข็งขึ้น)
- เพราะอิงกับหมายเลขโทรศัพท์มือถือในเกาหลีใต้ ผู้ใช้ต่างประเทศจึงไม่ใช่กลุ่มเป้าหมาย
- ผู้ใช้จะถูกคิดค่าบริการ SMS ตามแพ็กเกจของตนเอง (ถ้าเป็นแพ็กเกจไม่จำกัดก็แทบจะฟรี)
โดยเฉพาะอย่างยิ่ง อยากฟังข้อกังวลด้าน UX เช่น "ถ้าเป็นโฟลว์แบบนี้ ผู้ใช้อาจหลุดออกไปมากไหม" หรือข้อสังเกตในมุมมองด้านความปลอดภัย ยินดีรับทุกความคิดเห็น
5 ความคิดเห็น
ผมเข้าใจว่าข้อกำหนดทางกฎหมายที่การยืนยันตัวตนและการยืนยันการครอบครองต้องปฏิบัติตามนั้นแตกต่างกัน จึงมีบางกรณีที่จำเป็นต้องใช้การยืนยันตัวตนอยู่แล้ว แต่คงจะดีไม่น้อยหากมีการอธิบายให้ชัดเจนกว่านี้ว่าในกรณีใดบ้างที่สามารถใช้เพียงการยืนยันการครอบครองได้
ขอบคุณสำหรับฟีดแบ็กครับ!
อย่างที่คุณกล่าวไว้ ข้อกำหนดที่การยืนยันตัวตนและการยืนยันการครอบครองต้องตอบโจทย์นั้นแตกต่างกัน
เราจะจัดเรียบเรียงและเพิ่มเกณฑ์ว่าในกรณีใดการยืนยันการครอบครองเพียงอย่างเดียวจึงเพียงพอให้ชัดเจนยิ่งขึ้นในเอกสาร
ขอบคุณที่ช่วยชี้ประเด็นได้อย่างตรงจุดครับ!
โอ้ นี่เป็นอะไรที่เคยหวังว่าอยากให้มีสักครั้งเลย แต่ API ออกแบบมาให้ใช้งานง่ายมากจริง ๆ...!
"ผู้ใช้ส่งข้อความที่มีรหัสยืนยันจากโทรศัพท์มือถือของตัวเองไปยังหมายเลขที่กำหนด"
ตรงนี้แอบทำให้งงนิดหน่อย คือให้แนะนำให้ส่งข้อความไปยังหมายเลขที่ OCTOMO ให้มาใช่ไหมครับ?
ใช่ครับ ถูกต้องแล้ว! เพียงแนะนำให้ส่งข้อความที่มีรหัสยืนยันไปยังหมายเลขที่ OCTOMO ให้มาได้เลย
ในสภาพแวดล้อมของแอป แนะนำให้ใช้ดีปลิงก์
sms:เพื่อให้เมื่อผู้ใช้กดปุ่มยืนยัน แอปข้อความเปิดขึ้นมาโดยอัตโนมัติ!ในสภาพแวดล้อมของเว็บ ขณะนี้รองรับวิธีส่ง SMS ที่มีรหัสยืนยันอยู่ และกำลังพัฒนาวิธีผ่าน QR code เพิ่มเติมอยู่ครับ
เมื่อผู้ใช้สแกน QR code ก็จะสลับไปยังแอปข้อความโดยอัตโนมัติเช่นกัน!
ขอบคุณครับ!
ว้าว ดีมากเลยครับ.. เดี๋ยวจะเอาไปใช้กับงานไซด์โปรเจกต์ดี ๆ เลย 555