← Blog
Guide · 10 دقيقة للقراءة · Updated أبريل 2026

كيف يعمل التحقق عبر الرسائل القصيرة — شرح تقني

كيف يعمل التحقق عبر الرسائل القصيرة — شرح تقني

الخطوة 1: إنشاء رمز OTP

عندما تحتاج منصة ما إلى التحقق من رقم هاتفك، فإنها تنشئ رمزًا لمرة واحدة (OTP). إليك ما يحدث على جانب الخادم:

  1. يقوم المستخدم بإرسال رقم الهاتف — يتلقى الواجهة الخلفية للمنصة الرقم ويتحقق من تنسيقه (رمز البلد، عدد الأرقام، البادئة الصالحة).
  2. يتم إنشاء رمز OTP — يتم إنشاء رمز عشوائي مشفر، عادةً ما يتكون من 4-6 أرقام. تستخدم معظم التطبيقات HMAC-SHA1 أو HMAC-SHA256 مع بذرة تعتمد على الوقت أو العداد (معايير TOTP/HOTP من RFC 6238/RFC 4226).
  3. يتم تخزين رمز OTP — يتم حفظ الرمز على جانب الخادم مع طابع زمني انتهاء الصلاحية (عادةً 60-300 ثانية) وربطه برقم الهاتف.
  4. يتم تطبيق تحديد المعدل — تتحقق المنصة من عدد رموز OTP التي تم طلبها لهذا الرقم مؤخرًا. تسمح معظم الخدمات بـ 3-5 محاولات لكل رقم في الساعة.
  5. يتم تشغيل استدعاء واجهة برمجة تطبيقات الرسائل القصيرة (SMS API) — ترسل المنصة طلبًا إلى مزود الرسائل القصيرة الخاص بها مع رقم الهاتف ومحتوى الرسالة.

رمز OTP نفسه هو عادةً مجرد رقم عشوائي. لا تقوم المنصات بتضمين رمز OTP في شكل مشفر في الرسالة — يتم إرساله كنص عادي في نص الرسالة القصيرة. هذا هو أحد نقاط الضعف الأمنية الأساسية في التحقق عبر الرسائل القصيرة.

الخطوة 2: نظام الرسائل القصيرة A2P البيئي

A2P تعني Application-to-Person — الرسائل المرسلة من تطبيق برمجي إلى هاتف شخص. هذا يختلف عن المراسلة P2P (Person-to-Person). يمتلك نظام الرسائل القصيرة A2P البيئي بنيته التحتية الخاصة:

مجمّعو الرسائل القصيرة (SMS Aggregators)

لا ترسل معظم المنصات الرسائل القصيرة مباشرة عبر شركات الاتصالات. بدلاً من ذلك، يستخدمون مجمّعي الرسائل القصيرة — شركات تحتفظ باتصالات مع مئات شركات الاتصالات حول العالم. يشمل المجمّعون الرئيسيون:

عندما ترسل Instagram لك رمز OTP، فمن المحتمل أن تمر الرسالة عبر Twilio أو مجمّع مشابه قبل الوصول إلى شركة الاتصالات الخاصة بك. يتولى المجمّع التوجيه والتفاوض مع شركات الاتصالات وتأكيد التسليم.

توجيه الرسائل القصيرة (SMS Routing)

يحدد المجمّع المسار الأمثل لتسليم الرسالة القصيرة. بالنسبة لرقم أمريكي، قد يعني هذا:

  1. استدعاء واجهة برمجة تطبيقات المنصة → المجمّع (مثل Twilio)
  2. المجمّع → بوابة شركة الاتصالات (مثل AT&T، T-Mobile)
  3. بوابة شركة الاتصالات → مركز خدمة الرسائل القصيرة (SMSC)
  4. SMSC → مركز التحويل المتنقل (MSC)
  5. MSC → المحطة الأساسية → هاتف المستخدم

تضيف الرسائل الدولية تعقيدًا. قد يتم توجيه رمز OTP من منصة مقرها الولايات المتحدة إلى رقم هندي عبر 2-3 شركات اتصالات وسيطة قبل الوصول إلى الوجهة. كل خطوة تضيف تأخيرًا وفرصة صغيرة للفشل.

هل تريد رؤية هذا أثناء العمل؟

جرب VerifySMS مجانًا →

احصل على أرقام افتراضية واستقبل رموز OTP في الوقت الفعلي

الخطوة 3: SS7 وطبقة الإشارات

SS7 (Signaling System No. 7) هي مجموعة البروتوكولات التي تتحكم في كيفية تواصل شبكات الهاتف. تم تطويرها في السبعينيات، ولا تزال العمود الفقري للاتصالات الهاتفية العالمية. عند إرسال رسالة قصيرة، تتعامل SS7 مع:

مشاكل أمان SS7

تم تصميم SS7 في عصر كان فيه فقط مشغلو الاتصالات الموثوق بهم لديهم وصول إلى الشبكة. اليوم، يتوفر الوصول إلى SS7 لآلاف الكيانات، مما يخلق ثغرات أمنية:

هذه الثغرات هي سبب توصية خبراء الأمن بالابتعاد عن المصادقة الثنائية القائمة على الرسائل القصيرة نحو أدوات المصادقة المستندة إلى التطبيقات (TOTP) أو المفاتيح المادية (FIDO2). ومع ذلك، للتحقق الأولي من الحساب (إثبات أن لديك وصولاً إلى رقم)، تظل الرسائل القصيرة هي المعيار الصناعي لأنها تتمتع بأوسع انتشار.

الخطوة 4: كيف تستقبل الأرقام الافتراضية الرسائل القصيرة

تعمل أرقام الهواتف الافتراضية عن طريق استبدال شريحة SIM المادية ومكونات الراديو بالبرمجيات. إليك كيف يستقبل رقم افتراضي رمز OTP:

  1. تعيين الرقم — يقوم مزود الرقم الافتراضي بتأجير كتل الأرقام من شركات الاتصالات. هذه أرقام هواتف حقيقية مع تسجيلات صالحة لدى شركات الاتصالات.
  2. بنك شرائح SIM أو شريحة SIM افتراضية — يقوم المزود بتشغيل بطاقات SIM مادية في أجهزة (بنوك شرائح SIM تحتوي على مئات أو آلاف الشرائح) أو يستخدم تكاملات برمجية على مستوى شركة الاتصالات لاستقبال الرسائل.
  3. تصل الرسالة القصيرة إلى شركة الاتصالات — يتم تسليم رسالة OTP إلى شركة الاتصالات المرتبطة بالرقم الافتراضي، تمامًا مثل أي رسالة قصيرة أخرى.
  4. يتم إعادة توجيه الرسالة — يلتقط بنك شرائح SIM أو تكامل شركة الاتصالات الرسالة القصيرة الواردة ويعيد توجيهها إلى الواجهة الخلفية للمزود عبر واجهة برمجة التطبيقات.
  5. يرى المستخدم الرمز — تعرض لوحة تحكم المزود أو واجهة برمجة التطبيقات الرسالة القصيرة المستلمة للمستخدم.

الفكرة الرئيسية: من منظور المنصة المرسلة، يبدو الرقم الافتراضي مطابقًا للهاتف المادي. تتبع الرسالة القصيرة نفس مسار التوجيه. الفرق هو في الميل الأخير — بدلاً من عرضها على شاشة الهاتف، يتم التقاط الرسالة بواسطة البرمجيات.

الخطوة 5: التحقق من جانب المنصة

بعد أن يتلقى المستخدم رمز OTP ويدخله على المنصة، يحدث التحقق من جانب الخادم:

  1. مقارنة الرمز — تقارن المنصة الرمز المقدم بالرمز OTP المخزن.
  2. فحص انتهاء الصلاحية — إذا انتهت صلاحية رمز OTP (عادةً 60-300 ثانية)، يفشل التحقق.
  3. عد المحاولات — تسمح معظم المنصات بـ 3-5 محاولات غير صحيحة قبل قفل التحقق.
  4. تصنيف الرقم — تتحقق بعض المنصات من الرقم مقابل قواعد بيانات الأرقام الصوتية عبر الإنترنت (VoIP)/الأرقام الافتراضية للإبلاغ عن سوء الاستخدام المحتمل.
  5. نجاح أو فشل — إذا تطابق الرمز ولم تنته صلاحيته، يتم تمييز رقم الهاتف على أنه تم التحقق منه.

كيف تكتشف المنصات الأرقام الافتراضية

تحاول بعض المنصات حظر الأرقام الافتراضية. الطرق التي يستخدمونها:

طريقة الكشفكيف تعملالفعالية
البحث عن نوع الرقميستعلم من قواعد بيانات شركات الاتصالات للتحقق مما إذا كان الرقم محمولًا، أرضيًا، أو صوتيًا عبر الإنترنت (VoIP)متوسطة — يتم تسجيل العديد من الأرقام الافتراضية كأرقام محمولة
فحص قاعدة بيانات شركة الاتصالاتيقارن الرقم بقيم مزودي خدمات VoIP المعروفينمتوسطة — تعمل مع المزودين الكبار، وتفوت المزودين الأصغر
استعلام HLRيستعلم من سجل الموقع الرئيسي (Home Location Register) لتفاصيل شريحة SIMعالية للكشف عن الأرقام البرمجية فقط، أقل للأرقام في بنوك شرائح SIM
التحليل السلوكييتتبع عدد الحسابات التي تم إنشاؤها بأرقام من نفس النطاقعالية بمرور الوقت، ولكنها تتطلب تجميع البيانات

يقاوم مزودو الأرقام الافتراضية هذه الاكتشافات باستخدام أرقام على مستوى شركات الاتصالات مسجلة كخطوط محمولة، والحفاظ على مجموعات أرقام متنوعة، وتدوير الأرقام بشكل متكرر. دورة التهرب من الكشف مستمرة.

لماذا يستمر التحقق عبر الرسائل القصيرة على الرغم من عيوبه

يحتوي التحقق عبر الرسائل القصيرة على نقاط ضعف أمنية معروفة، ومع ذلك يظل الطريقة السائدة. الأسباب عملية:

يتجه الصناعة ببطء نحو البدائل. مفاتيح المرور (FIDO2)، وأدوات المصادقة المستندة إلى التطبيقات (TOTP)، والإشعارات الفورية تكتسب اعتمادًا. ولكن للتحقق الأولي من الهاتف — إثبات أن المستخدم يتحكم في رقم هاتف — تظل الرسائل القصيرة هي المعيار.

دور الأرقام الافتراضية في هذا النظام البيئي

تشغل الأرقام الافتراضية مكانة محددة: فهي توفر وصولاً على مستوى رقم الهاتف دون الحاجة إلى جهاز مادي. هذا مفيد في سيناريوهات مشروعة بما في ذلك:

من الناحية الفنية، تعمل الأرقام الافتراضية لأنها تستغل حقيقة أن التحقق عبر الرسائل القصيرة يثبت فقط التحكم في رقم — وليس أن الرقم موجود على هاتف مادي في جيب شخص ما. طالما أن الرقم صالح ويمكنه استقبال رسائل A2P، ينجح التحقق.

متقدم: تحسين توصيل رمز OTP

إذا كنت مطورًا تقوم بتطبيق التحقق عبر الرسائل القصيرة، فإليك اعتبارات فنية للتسليم الموثوق:

شاهد التحقق عبر الرسائل القصيرة من جانب الاستقبال

جرب VerifySMS مجانًا →

150+ دولة · تفعيل فوري · 0.10 دولار/رقم

>مقالات ذات صلة