Просто предисловие. Вы можете перейти к следующему заголовку.Telegram Bot API Deep Linking для проверки новых пользователей: неправильный или нет?
Я работаю над запуском с ограниченным бюджетом. Недавно я пытался создать RESTful API в качестве бэкэнд для мобильного приложения, над которым я работаю. (В ближайшем будущем будет создан SPA-клиент на базе Web). Конечно, это не общедоступный API, но мы знаем, что он «может» обнаружиться, подрывая сетевую активность или исследуя исходные файлы веб-клиента.
Практически все методы API защищены с использованием метода регистрации пользователя Token Authorization EXCEPT, который принимает email и password и создает пользователя. Таким образом, система будет уязвима для спамеров.
SMS как лучшее решение
Вы можете перейти к следующему разделу.
Я изучал различные подходы, такие как ограничение скорости передачи IP и CAPTCHA в мобильном приложении (!) Для блокировки спамеров, но ни одно из них не удовлетворяло. Поэтому я пришел к идее проверки электронной почты, которая также не была бы лучшим подходом. Спамеры могут легко создавать поддельные адреса электронной почты и анализировать содержимое входящей почты для проверки их партии зарегистрированных учетных записей.
Лучшее, что я выяснил до сих пор, - использовать проверку SMS. Номера телефонов нелегко подделать, и каждый из них будет стоить спамеру. Это не идеально, но минимизирует риск. Поэтому я решил создать и сохранить ключ в БД, отправить его пользователю через SMS и потребовать, чтобы он вводил код в приложении. Затем, если правильно, зарегистрируйте пользователя и сохраните номер телефона, чтобы предотвратить множественное использование одного и того же номера. Все идет нормально.
Телеграмма Bot как замена SMS Верификация
Поскольку бюджет ограничен, я уже пришел к идее использования Телеграмма рядом проверки SMS, чтобы сократить расходы, связанные с провайдерами SMS услуг. Итак, вот идея.
Telegram использует тот же подход. Он проверяет номер телефона при регистрации пользователя. Таким образом, мы можем положиться на то, что каждый пользователь Telegram является реальным человеком с действительным номером телефона. Таким образом, я могу разработать Телеграмма бот по имени, как ValidatorBot и использовать Deep Linking feature для запуска бота с параметром, указывающим запрос на регистрацию, которая собирается быть подтвержден:
https://telegram.me/ValidatorBot?start=user_registration_token
А затем показать ссылку выше как " Регистрация с использованием телеграммы ". Когда пользователь открывает ссылку и нажимает кнопку «СТАРТ» экрана бота, на мой сервер будет отправлено сообщение, содержащее user_registration_token, поэтому я могу отметить процесс регистрации, идентифицированный user_registration_token, как действительный процесс и продолжить регистрацию пользователя и сохранить их Идентификатор пользователя Telegram для блокировки нескольких созданий аккаунтов с помощью одной учетной записи Telegram.
Я не видел таких реализаций, как это раньше, и не мог найти что-либо релевантное в Интернете об этом.Вот различные аспекты, которые я смог проанализировать до сих пор:
- Это не был бы удобный способ заставить их открыть Telegram, нажать «Пуск», а затем вернуться к приложению, чтобы продолжить.
- Телеграмма Пользователь может быть удален. Спамер может удалить пользователя Telegram, создать новый, используя тот же номер телефона, и зарегистрировать его снова с помощью нового идентификатора Telegram UserID. Хотя это не так уж важно, потому что Telegram отрицает множественные намерения регистрации по конкретному номеру телефона в ограниченном временном домене в течение как минимум 24 часов. (Кажется, три регистрации в день).
Что вы думаете? Вы видите пробелы в этом методе проверки? Какие-либо недостатки безопасности?
Было бы лучше не полагаться только на нажатие кнопки СТАРТ и показ кода пользователю после нажатия на него и требование ввода кода в приложении? (Как то, как это было в методе SMS) Или достаточно получить сигнал START?
Ну, Хорошо, что после этого у нас все еще будет доступ к SMS. С надеждой. :) – zxcmehran