Как реализовать безопасный сброс пароля посредством 6-значного цифрового кода?

Question

[German Zvonchuk]

Здравствуйте друзья.

Есть сервис, у которого есть веб-интерфейс и приложения под Android и iOS.
Есть задача реализовать сброс пароля таким образом, чтобы клиент не уходил ни куда с веб или приложения.

То есть нужно отказаться от линка в письме для сброса пароля, заменив его 6-значного цифрового кодом.

У сброса пароля посредством ссылки есть минус, нужно реализовывать в приложении Deep Linking (Universal Linking), а хотелось бы сделать так, чтобы пользователь не уходил из мобильного приложения и ему было удобно сбросить пароль, когда это надо.

Процесс:
Пользователь вводит имейл, для которого хочет сбросить пароль.
Идет обращение на API, которое проверяет что аккаунт с таким имейлом существует.
Если аккаунт найден, то пользователю на имейл отсылается код и пользователь переходит на следующий экран, где ему будет предложено ввести код из письма и два раза новый пароль.

Вопрос:
Какие данные помимо 6-значного цифрового кода и нового пароля нужно посылать на второе API, чтобы реализовать безопасный сброс пароля?

Варианты:

1. Посылать на этот API так же имейл?
   
2. Посылать на этот API hash, который в ответе вернет первое API?
   

Answer 1

[Владимир Коротенко]

Делайте перехватчик почты смс и пушей. То есть он даже со станицы не будет уходить, ну и ограничите количество попыток раз в 3 минуты если просрочил новый токене. Если нет перехвата выводите окно для ввода кода