inside22
@inside22

Как реализовать безопасный сброс пароля посредством 6-значного цифрового кода?

Здравствуйте друзья.

Есть сервис, у которого есть веб-интерфейс и приложения под Android и iOS.
Есть задача реализовать сброс пароля таким образом, чтобы клиент не уходил ни куда с веб или приложения.

То есть нужно отказаться от линка в письме для сброса пароля, заменив его 6-значного цифрового кодом.

У сброса пароля посредством ссылки есть минус, нужно реализовывать в приложении Deep Linking (Universal Linking), а хотелось бы сделать так, чтобы пользователь не уходил из мобильного приложения и ему было удобно сбросить пароль, когда это надо.

Процесс:
Пользователь вводит имейл, для которого хочет сбросить пароль.
Идет обращение на API, которое проверяет что аккаунт с таким имейлом существует.
Если аккаунт найден, то пользователю на имейл отсылается код и пользователь переходит на следующий экран, где ему будет предложено ввести код из письма и два раза новый пароль.

Вопрос:
Какие данные помимо 6-значного цифрового кода и нового пароля нужно посылать на второе API, чтобы реализовать безопасный сброс пароля?

Варианты:
  1. Посылать на этот API так же имейл?
  2. Посылать на этот API hash, который в ответе вернет первое API?
  • Вопрос задан
  • 54 просмотра
Пригласить эксперта
Ответы на вопрос 1
firedragon
@firedragon
Senior .NET developer
Делайте перехватчик почты смс и пушей. То есть он даже со станицы не будет уходить, ну и ограничите количество попыток раз в 3 минуты если просрочил новый токене. Если нет перехвата выводите окно для ввода кода
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы