我们想实现一个登录/注册流程,首先询问用户的电子邮件地址,检查此电子邮件地址是否已注册,并根据结果将用户重定向到登录页面或注册过程(两者都是使用 Auth0 的 oAuth 的常规实现)。
很多应用程序/服务/网站都在使用类似的身份验证流程,我想知道这些应用程序/服务/网站是如何保护他们的系统免受误用的,比如暴力检查电子邮件地址,以确定这封电子邮件是否存在并在服务中注册。 我一直无法找到针对此特定案例的最佳实践。
流程仅在我们的移动应用程序(iOS 和安卓)上运行。我们已经考虑了一些选择:
所以我们还没有找到一个我们有信心使用的解决方案。关于如何保护此类电子邮件存在验证端点免受误用的任何建议?