Проверка — действительно ли клиент активировал почту по номеру телефона?
Разрабатываю безопасное приложение на ноде.
Фактически, nodejs может отправлять любые запросы на почтовые сервисы(и сайты).
Законно ли делать такой запрос на восстановление пароля по введённому пользователем email'у и с помощью этого проверять, привязана ли его почта к номеру телефона?
Есть ли другие способы сделать такую проверку? (Api, которое такую возможность предоставляет не нашёл)
И, на некоторых сервисах(к примеру, yandex'е) требуется ввести капчу, дабы отправить запрос на восстановление. Возможно ли обойти её другим запросом на репасс-ссылку или же перенаправлять картинку пользователю, считывать ответ и возвращать его?
Также, собственно, не возникнет ли конфликт с капчами от тех сервисов(тот же mail), где изначально её вводить не нужно, а после нескольких попыток уже потребуется(возможно на сервисе есть какое-либо запоминание пришедших запросов и последующая попытка их отражения, домыслы..).
Сергей delphinpro, просто делать первый этап восстановления, а именно - обычный ввод названия почты. После этого там обычно не отправляется уведомление, а показываются способы. И вот, если есть пункт "по номеру телефона", то логично, что почта привязана.
NonameMeTrue, то, что вы хотите, не должно работать никак. Не должно быть возможно выяснить, привязана ли чья-то почта на стороннем сервисе к его телефону.
Moskus, факт того, что это возможно сделать с помощью ноды на любом сайте - есть. Любая безопасность практически может быть обойдена(можно лишь сильно ограничить того, кто попробует её перейти), а значит, думаю вполне реально ответить на этот вопрос:
И, на некоторых сервисах(к примеру, yandex'е) требуется ввести капчу, дабы отправить запрос на восстановление. Возможно ли обойти её другим запросом на репасс-ссылку или же перенаправлять картинку пользователю, считывать ответ и возвращать его?