سیستم احراز هویت با کد ملی ایران چیست و چرا اهمیت دارد؟

در دنیای دیجیتال امروز، احراز هویت با کد ملی به یکی از مهم‌ترین و رایج‌ترین روش‌های تأیید هویت کاربران ایرانی تبدیل شده است. از سامانه‌های دولتی مثل ثبت‌احوال و سازمان امور مالیاتی گرفته تا بانک‌ها، بیمه‌ها، فروشگاه‌های اینترنتی و استارتاپ‌های نوپا، همه و همه به دنبال یک راه مطمئن برای تأیید هویت کاربر ایرانی هستند.

اما سوال اصلی اینجاست: چطور می‌توان یک سیستم احراز هویت با کد ملی را هم امن، هم سریع و هم قانونی پیاده‌سازی کرد؟ در این راهنمای جامع، تمام چیزهایی که باید بدانید را از صفر تا صد توضیح می‌دهیم.

کد ملی ایران چه ساختاری دارد؟

قبل از هر چیز باید بدانید که کد ملی ایران یک عدد ۱۰ رقمی است که توسط سازمان ثبت احوال کشور به هر شهروند ایرانی اختصاص داده می‌شود. این عدد یک ساختار منطقی دارد که می‌توان آن را به صورت الگوریتمیک اعتبارسنجی کرد.

ساختار کد ملی:

• سه رقم اول: کد استان یا شهرستان محل صدور
• شش رقم میانی: شماره سریال منحصربه‌فرد فرد
• رقم آخر (دهم): رقم کنترلی (Check Digit) برای اعتبارسنجی

رقم کنترلی مهم‌ترین بخش اعتبارسنجی کد ملی است. با استفاده از یک الگوریتم ریاضی ساده می‌توان فهمید آیا یک کد ملی از نظر فرمت صحیح است یا خیر. البته توجه داشته باشید که اعتبارسنجی فرمت کد ملی با تأیید هویت واقعی کاربر دو چیز کاملاً متفاوت هستند.

الگوریتم اعتبارسنجی کد ملی (Check Digit)

برای بررسی اینکه آیا یک کد ملی از نظر فرمت درست است، مراحل زیر را دنبال کنید:

مرحله اول: پیش‌شرط‌های اولیه

• کد ملی باید دقیقاً ۱۰ رقم داشته باشد
• تمام ارقام باید عدد باشند (بدون حرف یا کاراکتر خاص)
• کد ملی نباید از ارقام تکراری مثل 0000000000 یا 1111111111 تشکیل شده باشد

مرحله دوم: محاسبه رقم کنترلی

نه رقم اول را از راست به چپ در اعداد ۲ تا ۱۰ ضرب کنید، حاصل‌ها را با هم جمع کنید، باقی‌مانده تقسیم بر ۱۱ را به دست آورید. اگر باقی‌مانده کمتر از ۲ باشد، باید با رقم دهم برابر باشد. اگر باقی‌مانده بیشتر یا مساوی ۲ باشد، عدد ۱۱ منهای باقی‌مانده باید با رقم دهم برابر باشد.

// JavaScript - اعتبارسنجی کد ملی ایران

function validateNationalCode(code) {

// بررسی طول و عددی بودن

if (!/^\d{10}$/.test(code)) return false;

// بررسی ارقام تکراری

if (/^(\d)\1{9}$/.test(code)) return false;

// محاسبه رقم کنترلی

let sum = 0;

for (let i = 0; i < 9; i++) {

sum += parseInt(code[i]) * (10 - i);

}

const remainder = sum % 11;

const checkDigit = parseInt(code[9]);

if (remainder < 2) {

return checkDigit === remainder;

} else {

return checkDigit === (11 - remainder);

}

}

// مثال استفاده

console.log(validateNationalCode(“0012345678”)); // true یا false

پیاده‌سازی در Python:

Python - اعتبارسنجی کد ملی ایران

import re

def validate_national_code(code: str) -> bool:

بررسی طول و عددی بودن

if not re.match(r’^\d{10}$', code):

return False

بررسی ارقام تکراری

if len(set(code)) == 1:

return False

محاسبه رقم کنترلی

total = sum(int(code[i]) * (10 - i) for i in range(9))

remainder = total % 11

check_digit = int(code[9])

if remainder < 2:

return check_digit == remainder

else:

return check_digit == (11 - remainder)

تست

print(validate_national_code(“0012345678”))

روش‌های مختلف احراز هویت با کد ملی در ایران

اعتبارسنجی فرمت فقط اولین قدم است. برای یک سیستم احراز هویت واقعی، باید هویت کاربر را به شکل مطمئن‌تری تأیید کنید. در ایران چند روش رایج وجود دارد:

۱. احراز هویت از طریق پیامک (OTP)

رایج‌ترین روش در ایران. کاربر کد ملی و شماره موبایل خود را وارد می‌کند. سیستم یک رمز یکبارمصرف (OTP) به شماره ثبت‌شده در بانک اطلاعاتی ثبت احوال ارسال می‌کند. این روش نسبتاً امن است اما به اتصال با پایگاه داده ثبت احوال نیاز دارد.

۲. احراز هویت از طریق سرویس شاهکار (SHAHKAR)

سامانه شاهکار یک سرویس ملی است که توسط سازمان تنظیم مقررات و ارتباطات رادیویی (رگولاتوری) ارائه می‌شود و امکان تطابق کد ملی با شماره موبایل را فراهم می‌کند. بسیاری از کسب‌وکارهای آنلاین از این سرویس برای احراز هویت استفاده می‌کنند.

• مزیت: رسمی، قانونی و بسیار دقیق
• معایب: نیاز به مجوز و قرارداد رسمی با رگولاتوری
• کاربرد: بانک‌ها، شرکت‌های بیمه، فروشگاه‌های اینترنتی بزرگ

۳. احراز هویت از طریق درگاه‌های پرداخت بانکی

در این روش، کاربر از طریق رمز دوم پویا (3D Secure) با کارت بانکی خود احراز هویت می‌کند. از آنجا که کارت‌های بانکی به کد ملی متصل هستند، این روش می‌تواند به عنوان تأیید هویت غیرمستقیم استفاده شود.

۴. احراز هویت با استفاده از سامانه‌های ثالث (eKYC)

eKYC (احراز هویت الکترونیک) یا همان کی‌وای‌سی آنلاین روزبه‌روز در ایران محبوب‌تر می‌شود. در این روش از ترکیب کد ملی، عکس کارت ملی، سلفی و تشخیص چهره برای تأیید هویت استفاده می‌شود. شرکت‌هایی مثل جیبیت، مصباح‌نت و سایر سرویس‌دهندگان eKYC این خدمات را ارائه می‌دهند.

پیاده‌سازی سیستم احراز هویت با کد ملی: از صفر تا صد

معماری پیشنهادی سیستم

یک سیستم احراز هویت حرفه‌ای با کد ملی باید لایه‌های زیر را داشته باشد:

• لایه ورودی (Input Layer): فرم دریافت کد ملی با اعتبارسنجی سمت کلاینت
• لایه اعتبارسنجی (Validation Layer): بررسی فرمت کد ملی در سمت سرور
• لایه تأیید هویت (Verification Layer): استعلام از سرویس‌های رسمی
• لایه امنیت (Security Layer): Rate Limiting، ثبت لاگ و جلوگیری از سوءاستفاده
• لایه ذخیره‌سازی (Storage Layer): ذخیره امن اطلاعات با رمزنگاری

مثال کامل با PHP و MySQL:

db=
this−>db=
db;

}

// اعتبارسنجی فرمت کد ملی

public function validateFormat(string $code): bool {

if (!preg_match('/^\d{10}
/′,
/
′
,
code)) return false;

if (preg_match('/^(\d)\1{9}
/′,
/
′
,
code)) return false;

$sum = 0;

for (
i=0;
i=0;
i < 9; $i++) {

sum+=(int)
sum+=(int)
code[
i]∗(10−
i]∗(10−
i);

}

remainder=
remainder=
sum % 11;

checkDigit=(int)
checkDigit=(int)
code[9];

return $remainder < 2

? 
checkDigit===
checkDigit===
remainder

: 
checkDigit===(11−
checkDigit===(11−
remainder);

}

// ارسال OTP

public function sendOTP(string 
nationalCode,string
nationalCode,string
mobile): array {

if (!
this−>validateFormat(
this−>validateFormat(
nationalCode)) {

return [‘success’ => false, ‘message’ => ‘کد ملی نامعتبر است’];

}

// بررسی تعداد تلاش‌ها (Rate Limiting)

if (
this−>checkRateLimit(
this−>checkRateLimit(
nationalCode)) {

return [‘success’ => false, ‘message’ => ‘تعداد تلاش‌ها بیش از حد مجاز است’];

}

$otp = random_int(100000, 999999);

hashedOtp=passwordhash(
hashedOtp=password
h
	​

ash(
otp, PASSWORD_BCRYPT);

expiry=time()+
expiry=time()+
this->otpExpiry;

// ذخیره OTP در دیتابیس

stmt=
stmt=
this->db->prepare(

"INSERT INTO otp_tokens (national_code, mobile, token_hash, expires_at, created_at)

VALUES (?, ?, ?, ?, NOW())"

);

stmt−>execute([
stmt−>execute([
nationalCode, 
mobile,
mobile,
hashedOtp, $expiry]);

// ارسال پیامک (اتصال به سرویس SMS)

this−>sendSMS(
this−>sendSMS(
mobile, “کد تأیید شما: {$otp} - این کد ۲ دقیقه اعتبار دارد.”);

return [‘success’ => true, ‘message’ => ‘کد تأیید ارسال شد’];

}

// تأیید OTP

public function verifyOTP(string 
nationalCode,string
nationalCode,string
otp): array {

stmt=
stmt=
this->db->prepare(

"SELECT * FROM otp_tokens

WHERE national_code = ? AND expires_at > UNIX_TIMESTAMP() AND used = 0

ORDER BY created_at DESC LIMIT 1"

);

stmt−>execute([
stmt−>execute([
nationalCode]);

record=
record=
stmt->fetch(PDO::FETCH_ASSOC);

if (!
record∣∣!passwordverify(
record∣∣!password
v
	​

erify(
otp, $record[‘token_hash’])) {

return [‘success’ => false, ‘message’ => ‘کد وارد شده نامعتبر یا منقضی شده است’];

}

// علامت‌گذاری به عنوان استفاده‌شده

$this->db->prepare(“UPDATE otp_tokens SET used = 1 WHERE id = ?”)

->execute([$record[‘id’]]);

return [‘success’ => true, ‘message’ => ‘احراز هویت موفق’];

}

private function checkRateLimit(string $nationalCode): bool {

stmt=
stmt=
this->db->prepare(

"SELECT COUNT(*) FROM otp_tokens

WHERE national_code = ? AND created_at > DATE_SUB(NOW(), INTERVAL 1 HOUR)"

);

stmt−>execute([
stmt−>execute([
nationalCode]);

return 
stmt−>fetchColumn()>=
stmt−>fetchColumn()>=
this->maxAttempts;

}

}

?>

نکات امنیتی حیاتی در پیاده‌سازی

امنیت در سیستم‌های احراز هویت هیچ‌وقت نباید فدای سرعت توسعه شود. اگر از اطلاعات هویتی کاربران محافظت نکنید، با مشکلات قانونی جدی مواجه خواهید شد. این نکات را حتماً رعایت کنید:

۱. هرگز کد ملی را به صورت خام ذخیره نکنید

کد ملی از جمله اطلاعات شخصی حساس است. طبق قوانین حریم خصوصی ایران و قوانین جهانی حفاظت از داده، باید این اطلاعات را رمزنگاری (Encrypt) کنید، نه Hash. زیرا ممکن است بعداً به آن نیاز داشته باشید اما باید کاملاً محافظت‌شده باشد.

۲. محدودیت نرخ (Rate Limiting) اجرا کنید

بدون Rate Limiting، هکرها می‌توانند با Brute Force کد ملی‌های مختلف را امتحان کنند. حداقل ۳ تلاش در ۱۰ دقیقه را به عنوان محدودیت تعریف کنید و IP متخلف را موقتاً Block کنید.

۳. از HTTPS استفاده کنید (اجباری!)

هیچ‌وقت سیستم احراز هویت را روی HTTP راه‌اندازی نکنید. استفاده از SSL/TLS در این بخش اجباری است و گوگل هم سایت‌های HTTP را در رتبه‌بندی تنزل می‌دهد.

۴. OTP باید انقضا داشته باشد

کدهای OTP نباید بیشتر از ۲ تا ۵ دقیقه اعتبار داشته باشند. بعد از استفاده هم باید فوراً غیرفعال شوند تا از Replay Attack جلوگیری شود.

۵. لاگ‌گیری جامع انجام دهید

تمام تلاش‌های احراز هویت (موفق و ناموفق) را همراه با IP، زمان، User-Agent و نتیجه ذخیره کنید. این اطلاعات هم برای امنیت و هم برای رفع اشکال حیاتی هستند.

جنبه‌های قانونی: آنچه باید بدانید

در ایران، استفاده از کد ملی در سیستم‌های نرم‌افزاری تابع قوانین و مقررات مشخصی است که نادیده گرفتن آن‌ها می‌تواند عواقب جدی داشته باشد:

• قانون جرائم رایانه‌ای ایران: استفاده غیرمجاز از اطلاعات هویتی افراد جرم است
• دسترسی به پایگاه داده ثبت احوال: نیازمند مجوز رسمی و قرارداد است
• سامانه شاهکار: دسترسی به این سرویس نیازمند مجوز رگولاتوری است
• ذخیره‌سازی داده: اطلاعات کاربران باید در سرورهای داخل ایران نگهداری شود (مطابق الزامات مرکز داده ملی)

بهترین فریمورک‌ها و کتابخانه‌های احراز هویت برای ایران

اگر نمی‌خواهید از صفر شروع کنید، می‌توانید از فریمورک‌ها و پکیج‌های آماده استفاده کنید:

برای PHP (Laravel):

• Laravel Sanctum: برای احراز هویت API-based
• Laravel Fortify: برای سیستم‌های کامل احراز هویت
• پکیج‌های ایرانی: چندین پکیج اختصاصی برای اتصال به شاهکار و ثبت احوال در GitHub موجود است

برای Python (Django/FastAPI):

• Django REST Framework + SimpleJWT: برای APIهای احراز هویت
• python-otp: برای مدیریت کدهای یکبارمصرف

برای Node.js:

• Passport.js: میدلور قدرتمند احراز هویت
• speakeasy: برای TOTP و HOTP

خطاهای رایج در پیاده‌سازی که باید از آن‌ها اجتناب کنید

• اعتبارسنجی فقط در سمت کلاینت: هکرها به راحتی می‌توانند JavaScript را دور بزنند. همیشه در سمت سرور هم اعتبارسنجی کنید.
• ذخیره OTP به صورت خام: اگر دیتابیس شما Leak شود، تمام کدهای فعال در معرض خطر هستند.
• عدم اجرای HTTPS: این یک اشتباه فاحش است که اطلاعات کاربران را در معرض خطر Man-in-the-Middle قرار می‌دهد.
• Session Fixation: بعد از احراز هویت موفق، Session ID را تغییر دهید.
• پیام خطاهای مبهم: نگویید “کد ملی در سیستم وجود ندارد” زیرا این اطلاعات ارزشمندی به هکر می‌دهد. همیشه پیام عمومی‌تر نمایش دهید.

مقایسه روش‌های احراز هویت: کدام را انتخاب کنیم؟

سوالات متداول (FAQ)