La OTP se puede implementar utilizando Google Authenticator o enviando SMS al usuario. El código GA se crea con una marca de tiempo y el código caduca si se usa después de algún tiempo.
Sin embargo, en el caso de SMS, el valor OTP se guarda en la base de datos en el lado del servidor. El cliente puede tomar cualquier cantidad de tiempo y luego enviar el valor OTP. ¿Entonces por qué se requiere la caducidad en este caso? No puedo pensar en ningún compromiso de seguridad. Indique las inquietudes debidas a la PTO sin vencimiento.