Estoy desarrollando una aplicación móvil (Android solo por ahora) para proporcionar un servicio de correo electrónico desechable a los usuarios. Los usuarios recibirán direcciones de correo electrónico temporales para que puedan recibir y leer correos electrónicos durante un cierto período de tiempo, luego las cuentas se destruyen por completo.
En esta arquitectura, no estoy interesado en que los usuarios conozcan las contraseñas de sus cuentas de correo electrónico, ya que podrían iniciar sesión a través de un cliente común y enviar correos electrónicos o incluso correo no deseado (actualmente quiero permitir solo correos electrónicos entrantes). correos, no salientes).
Mi idea es generar una contraseña pseudoaleatoria dentro de la aplicación cada vez que el usuario desee crear un correo electrónico desechable, enviarlo a través de una solicitud HTTPS POST
al servidor remoto para que se pueda crear la cuenta y luego permitir al usuario iniciar sesión en la cuenta utilizando un pequeño cliente a través de IMAPS
.
Sé que tanto HTTPS
como IMAPS
deberían proporcionar suficiente seguridad en cuanto al cliente < - > los datos del servidor van, pero me preocupa la posibilidad de que los usuarios puedan romper el código (o introducir un dispositivo antes de su enrutador para que la solicitud de creación de buzón HTTPS
pueda leerse antes de ser enviada, o similar) y de alguna manera obtener la contraseña para el correo cuenta mientras la cuenta aún existe.
¿Qué tan real es esta situación? Si los usuarios pueden obtener las contraseñas con el esquema anterior, ¿hay alguna manera de lograr mi propósito de manera segura?
Gracias.