Estoy pensando en crear un cliente web de correo electrónico que pueda ejecutar en mi servidor como un proyecto paralelo. Las direcciones del servidor deben configurarse en el lado del servidor.
Varias cuentas deben poder acceder a sus correos electrónicos a través del cliente.
Tal como lo veo, para POP / IMAP / SMTP las credenciales deben enviarse con cada solicitud, por lo que debo almacenarlas en algún lugar.
¿Cuál es la forma más segura de hacer esto?
Ya que su cliente de correo web es solo una interfaz para algunas cuentas de correo electrónico existentes, simplemente puede utilizar la información de inicio de sesión de IMAP / POP como la información de inicio de sesión de su cliente de correo web. En este caso, no necesita almacenar ninguna credencial de forma permanente para recuperar el correo.
Como es probable que necesite acceder a las credenciales mientras el usuario todavía está conectado a su aplicación de correo web y no quiere volver a preguntarle al usuario, puede incluir las credenciales en forma cifrada dentro de la cookie de sesión, por ejemplo, como carga útil encriptada dentro de una cookie basada en JWT.
Si bien muchos (¿la mayoría?) los proveedores de correo tienen las mismas credenciales para IMAP / POP y para SMTP, pueden ser diferentes para algunos proveedores. En este caso, podría cifrar las credenciales SMTP con una clave derivada de las credenciales IMAP / POP para que solo sean accesibles Alguien que ya tiene las credenciales IMAP / POP. Luego, puede almacenar estas credenciales cifradas en una base de datos o solo en el lado del cliente, por ejemplo, en el almacenamiento local de los navegadores o en alguna cookie con un tiempo de caducidad realmente largo. El almacenamiento de esta información cifrada en el lado del cliente tiene la ventaja de que no es necesario almacenar información confidencial del cliente en el lado del servidor.
Lea otras preguntas en las etiquetas web-application email credentials