Как управлять сеансом пользователя в парольной аутентификации

Я пытаюсь реализовать аутентификацию по паролю, как это делает WhatsApp (отправка кода подтверждения пользователю через SMS и т. Д.). Я буду использовать React Native и PHP в качестве бэкэнда.

Теперь я понимаю шаги, связанные с реализацией процесса одноразового пароля, но меня смущает вопрос о том, как приложение будет проверять сеанс пользователя, когда пользователь возвращается в приложение во второй раз, скажем, через неделю. Как мы можем быть уверены, что после SMS-проверки любое последующее сообщение действительно приходит с телефона пользователя и не было перехвачено хакером.

Я не смог найти хороших статей на эту тему. Практически все учебники OTP заканчиваются процессом проверки SMS.

Спасибо!