Identityserver4 Identity Server 4电子邮件验证终结点
我们目前正在使用IdentityServer 4作为SSO 作为PM设置的要求的一部分,需要电子邮件验证的端点。这样的端点将提供一个简单的功能:验证系统中是否存在已注册的电子邮件 这引起了对目录捕获攻击、增加攻击面等的关注 由于IdentityServer不提供这种开箱即用的功能,我们有充分的理由相信,在现有功能(考虑到前面提到的问题)的基础上添加这样的功能是明智的还是完全在平台中添加这样的功能 提出的一个论点是,登记表可以提供相同的功能。但是,服务器端呈现的页面,利用防伪令牌减轻(消除?)这样的选项。 在我们的例子中,客户端应用程序是基于Angular2的Identityserver4 Identity Server 4电子邮件验证终结点,identityserver4,Identityserver4,我们目前正在使用IdentityServer 4作为SSO 作为PM设置的要求的一部分,需要电子邮件验证的端点。这样的端点将提供一个简单的功能:验证系统中是否存在已注册的电子邮件 这引起了对目录捕获攻击、增加攻击面等的关注 由于IdentityServer不提供这种开箱即用的功能,我们有充分的理由相信,在现有功能(考虑到前面提到的问题)的基础上添加这样的功能是明智的还是完全在平台中添加这样的功能 提出的一个论点是,登记表可以提供相同的功能。但是,服务器端呈现的页面,利用防伪令牌减轻(消除?)这样
建议?谁将使用电子邮件验证端点?高度信任的应用程序?客户端应用程序?客户端应用程序是预期的应用程序。因此,如果用户插入一封已经在使用的电子邮件,他会得到一个关于它的指示。你可以在注册页面中添加验证码,客户端使用电子邮件和验证码向服务器发出请求,您可以让identity server检查验证码,如果验证码正确,您可以根据数据库检查电子邮件……如果电子邮件检查是注册详细信息完整帖子的一部分,那么这可能会起作用。在这种情况下,它只是向用户提供一个指示,这样用户界面就没有地方容纳该流,而且从用户体验的角度来看,这将很不方便。谢谢你的建议