Здравствуйте друзья.
Есть сервис, у которого есть веб-интерфейс и приложения под Android и iOS.
Есть задача реализовать сброс пароля таким образом, чтобы клиент не уходил ни куда с веб или приложения.
То есть нужно отказаться от линка в письме для сброса пароля, заменив его 6-значного цифрового кодом.
У сброса пароля посредством ссылки есть минус, нужно реализовывать в приложении Deep Linking (Universal Linking), а хотелось бы сделать так, чтобы пользователь не уходил из мобильного приложения и ему было удобно сбросить пароль, когда это надо.
Процесс:
Пользователь вводит имейл, для которого хочет сбросить пароль.
Идет обращение на API, которое проверяет что аккаунт с таким имейлом существует.
Если аккаунт найден, то пользователю на имейл отсылается код и пользователь переходит на следующий экран, где ему будет предложено ввести код из письма и два раза новый пароль.
Вопрос:
Какие данные помимо 6-значного цифрового кода и нового пароля нужно посылать на второе API, чтобы реализовать безопасный сброс пароля?
Варианты:
- Посылать на этот API так же имейл?
- Посылать на этот API hash, который в ответе вернет первое API?
Средний
