我在x1e1 f1 a下firebase_ui_auth,当网站访问者输入有效但不存在的电子邮件地址时,网站显示EMAIL_NOT_FOUND如下所示
我们不想透露用户是否存在。
下面是chrome发送的curl等价物
curl "https://identitytoolkit.googleapis.com/v1/accounts:sendOobCode?key=AgwiSyC-tRO9CaBdWeRMU_a1234567-Jl1234ec" ^
-H "authority: identitytoolkit.googleapis.com" ^
-H "accept: */*" ^
-H "accept-language: en-US,en;q=0.9" ^
-H "content-type: application/json" ^
-H "origin: http://localhost:63865" ^
-H "sec-ch-ua: ^\^"Not_A Brand^\^";v=^\^"99^\^", ^\^"Google Chrome^\^";v=^\^"109^\^", ^\^"Chromium^\^";v=^\^"109^\^"" ^
-H "sec-ch-ua-mobile: ?0" ^
-H "sec-ch-ua-platform: ^\^"Windows^\^"" ^
-H "sec-fetch-dest: empty" ^
-H "sec-fetch-mode: cors" ^
-H "sec-fetch-site: cross-site" ^
-H "user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36" ^
-H "x-client-data: CInaygE=" ^
-H "x-client-version: Chrome/JsCore/9.15.0/FirebaseCore-web" ^
-H "x-firebase-gmpid: 1:621401234567:web:7d6e685agh2315aea7f93b" ^
--data-raw "^{^\^"requestType^\^":^\^"PASSWORD_RESET^\^",^\^"email^\^":^\^"example1^@example.com^\^"^}" ^
--compressed以下是回复
{“错误”:{“代码”:400,“留言”:“未找到电子邮件”,“错误”:[ {“消息”:“未找到电子邮件”,“域”:“全局”、“原因”:“无效”} ] } }
基本上有两种情况下,电子邮件枚举保护可以帮助,但它没有帮助时,找出用户是否存在于系统中,一个人试图注册(注册)与该电子邮件再次在当时的应用程序将显示帐户确实存在。
它在其他两种情况下工作,即当密码重置或尝试登录。
1条答案
按热度按时间92dk7w1h1#
听起来很正确:Firebase Authentication只能向其知道的帐户发送密码重置邮件。如果之前没有用户注册该邮件,则无法向其发送密码重置邮件。