OCTOMO — API zur Mobiltelefon-Identitätsprüfung im MO-Verfahren, bei dem der Kunde selbst die SMS sendet

Dies ist eine API zur Mobiltelefon-Verifizierung, die wir entwickelt haben, indem wir die Richtung umgedreht haben, weil die Kosten für den SMS-Versand bei jeder Einbindung einer Identitätsprüfung für die Registrierung in einem Service belastend waren.

Bei der bisherigen SMS-Verifizierung sendet der Service die Bestätigungsnachricht an den Nutzer (MT, Mobile Terminated). Pro Nachricht fallen 9 bis 50 Won an, dazu kommt eine monatliche Grundgebühr, sodass die Kosten mit steigender Nutzerzahl wachsen; wegen Verträgen und Prüfprozessen kann die Integration zudem 1 bis 2 Wochen dauern.

OCTOMO hat die Richtung umgedreht (MO, Mobile Originated). Der Nutzer sendet mit seinem eigenen Mobiltelefon einen Verifizierungscode per SMS an eine festgelegte Nummer, und der Service prüft die eingegangene Nachricht nur noch per API. Da der Nutzer der Absender der SMS ist, entstehen auf Seiten des Service keine Versandkosten, und weil der Nutzer die Nachricht tatsächlich von diesem Gerät gesendet hat, dient dies als Besitznachweis.

Empfohlen wird folgender Ablauf: Wenn man auf die Verifizierungs-Schaltfläche drückt, öffnet sich die SMS-App bereits mit vorausgefüllter Empfängernummer und Verifizierungscode, und der Nutzer muss nur noch auf „Senden“ tippen. (Da dies per sms:-Deep Link verarbeitet wird, muss ein Teil davon im Frontend implementiert werden, aber auf Mobilgeräten ist das der Standard.) Weil weder die Nummer falsch eingegeben noch der Code vertippt werden kann, sinkt auch die Fehlerrate.

Anzeige

Die API besteht faktisch nur aus einem Endpunkt.
POST /octomo/v1/public/message/exists

• Eingabe: Mobiltelefonnummer + vom Nutzer gesendeter Code
• Ausgabe: Ob innerhalb der letzten 5 Minuten eine SMS mit diesem Code eingegangen ist (verified: true/false)

Der Integrationsablauf ist einfach: „Button tippen → SMS-App automatisch starten (Nummer·Code automatisch eingetragen) → Nutzer sendet → diese API aufrufen und bei true durchlassen“. Es ist weder eine separate App-Installation noch ein SDK nötig; ein REST-Aufruf reicht aus, und wir haben Beispiele für Node/Java/Python in die Dokumentation aufgenommen.

Anzeige

Auch die ehrlichen Grenzen sind dokumentiert.

• Per Deep Link entfällt zwar der Eingabeaufwand, aber der zusätzliche Handlungsschritt bleibt: Der Nutzer muss noch einmal auf „Senden“ tippen (Trade-off gegenüber 0 Won Versandkosten und stärkerem Besitznachweis).
• Da es auf koreanischen Mobiltelefonnummern basiert, ist es nicht für Nutzer im Ausland gedacht.
• Für den Nutzer gelten die SMS-Gebühren seines eigenen Tarifs (bei Flatrates praktisch kostenlos).

Mich würde besonders Feedback zu UX-Bedenken wie „Führt dieser Ablauf nicht zu hoher Nutzerabwanderung?“ oder Hinweise aus Sicherheitsperspektive interessieren. Feedback willkommen.