سلام،

اینکه بگیم "خیلی اشتباهه" یه جورایی مطلقه و همیشه هم درست نیست. همه‌ چیز به مقیاس (scale)، ترافیک سایت یا اپلیکیشن و هدف پروژه بستگی داره.

روش‌های مختلفی برای پیاده‌سازی ذخیره‌سازی OTP وجود داره و هر کدوم مزایا و معایب خودشون رو دارن. مثلاً ذخیره کردن OTP توی دیتابیس شاید توی پروژه‌هایی که نیاز به پیگیری دقیق رفتار کاربر و لاگ‌گذاری دارن، بهتر باشه. یا روش‌هایی مثل stateless که توی اون‌ها کد OTP توی سرور ذخیره نمیشه و طبق الگوریتم‌هایی مثل TOTP یا HOTP هر بار به صورت داینامیک تولید میشه هم وجود داره. یا استفاده از session-based storage که در اون کد OTP توو session کاربر ذخیره میشه و با هر درخواست تایید میشه. این روش میتونه با tokenization پیاده بشه و به جای ذخیره مستقیم کد OTP، یه توکن JWT روی session کاربر ساخته بشه که امنیت بیشتری رو داشته باشه. یا طبق گفته شما ذخیره‌سازی موقت در حافظه‌هایی مثل Redis و Memcached.

ضمناً بعضی از سایت‌ها و اپلیکیشن‌‌ها هم از روش‌های ترکیبی استفاده میکنن. یعنی هم OTP رو به صورت موقت توی حافظه ذخیره میکنن و هم در شرایط خاص، مثل وقتی که نیاز به پیگیری و امنیت بالاتری هست، اونو توی دیتابیس ثبت میکنن. اینطوری میتونن هم از سرعت و کارایی حافظه موقت استفاده کنن و هم از امنیت و قابلیت پیگیری دیتابیس بهره‌ ببرن.