agradecería enormemente algunos consejos de los expertos aquí en este intercambio de pila.
Estoy creando una aplicación que requiere acceso a los recursos de un usuario desde una aplicación de terceros. Este tercero no proporciona ningún tipo de autorización similar a OAuth para permitir que un usuario otorgue a mi aplicación este tipo de permiso.
Sin embargo, el tercero tiene una API que me permite (como socio de confianza incluido en la lista blanca con claves de API de nivel de aplicación) acceder a la información de cualquier usuario siempre que tenga su ID de cuenta. También tienen una API que me permite buscar el ID de cuenta de un usuario a través de su dirección de correo electrónico.
Debido a que un esquema de tipo de autorización delegada no está disponible para mí con esta tercera parte, estoy considerando lo siguiente, ya que esperaba recibir algunos comentarios:
- Pídale al usuario de mi aplicación que ingrese la dirección de correo electrónico asociada con su cuenta de terceros.
- Muéstreles un formulario para ingresar un código y dígales que revisen su correo electrónico.
- Envíe a esa dirección de correo electrónico un enlace seguro y de una sola vez que, al hacer clic, les dará el código.
- Introduce ese código en mi aplicación.
Ahora (creo) he verificado que el usuario de mi aplicación es el propietario de este correo electrónico. Ahora puedo usar las API de terceros para encontrar su ID de cuenta (a través de este correo electrónico) y recuperar sus recursos protegidos de este tercero.
Cualquier comentario sería muy apreciado. Al ser un protocolo inseguro SMTP me da pausa. Me pregunto si hay otros agujeros en los que no esté pensando.
Editar:
Veo este post- ¿El envío de enlaces de autorización a través de correo electrónico es una vulnerabilidad? - puede estar haciendo la misma pregunta. Parece que la respuesta aceptada es que está bien, pero no excelente, siempre que el mecanismo enviado por correo electrónico sea de corta duración.