我们目前正在使用IdentityServer 4作为我们的SSO。
作为我们的PM设置的要求的一部分,需要用于电子邮件验证的端点。这样的端点将提供一个简单的功能:验证我们系统中已注册的电子邮件的存在。
这引起了对目录收集攻击,增加攻击面等的担忧。
由于IdentityServer不提供开箱即用的此类功能,我们认为有充分的理由,在现有的功能(先前提到的问题)或平台上添加此类功能是明智的吗?
提出的论点是注册表格可以提供相同的功能。但是,服务器端渲染页面,利用防伪标记减轻(消除?)这样的选项。 在我们的例子中,客户端应用程序是基于Angular2的。
建议?