вот тут https://habr.com/ru/post/501728/
"приложения используют Telegram-бота в качестве подтверждения входа в аккаунт"
а для чего так сложно?
вот к примеру для веб
можно проще - открылась страница на ней просто число 4-8 значное
вбиваешь это число в команда бота
(и если ранее передал этому боту свой номер и он был прописан на сервере)
открывается новая страница/страницы и только те которые разрешены тебе
всё просто

вообще как относитесь к такому методу входа?

смешно было кагда Захарова рекламировала телеграм канал МИДа, в то время когда РНК бился в истерике преркрывая вся и всех
так же можно начинать бояться когда мелкомягкие перекроют свои каналы
да и гугл днсы свои

а телегу как ни пытались - так и не получилось. чем не реклама за чужой счёт.

зато не надо ничего запоминать , никто не подсмотрит логин/пароль , и не надо платить за смс

ну так можно обо всем сказать и значит сидеть и ничего не делать? и просто на счетах считать - вдруг электрику отключат

предложи что-то другое
как минимум

Код: plaintext

зато не надо ничего запоминать , никто не подсмотрит логин/пароль , и не надо платить за смс 

могут украсть, еще больше вероятность что могут подсмотреть логин/пароль.
не факт,
но и ключи могут украсть, вместе с твоим брелком.

ну сам не войдёшь.
фишка в том что не надо помнить.
назови мне хоть что-то что не падало не разу?
даже когда есть вход по отпечатку пальца - есть возможность остаться без пальцев, что не сделаешь ради проникновения.

если надо войти в корпоративный портал из произвольного места - вводить логин/пароль на чужой машине намного опаснее, чем полученный код с экрана в свой телефон.

т.е. предлагаешь оставить все как есть .....

я сделал с тб ещё одну штуку - разрешение входа в корпоративную сеть с переданного боту ip
довольно удобно - клиент определяет свой ip любым сервисом, отправляет его боту , бот открывает данный ip , клиент подключается - работает
закончил работу - отправляет команду закрыть ip.

сравни затраты -токен и бот

это о чем? с каким девайсом? масло масленое?
тут как-то просили вариант защиты от просмотра введенного и отправленного логина/пароля от просмотра в отладчике браузера - решения не найдено
в отладчике все просматривается прекрасно, и код не в состоянии отследить открыт ли отладчик.
забыть пароль на клиенте не действует

ага на чужом , случайном компе
если ты садишься за чужой комп - кто тебе даст проверить что дебаг не запущен? и как ты сможешь объяснить стандартному юзеру что такое дебаг?
да, но насколько вероятно что из подсети с этим ip будет хацкер, да ещё и ориентированный на прослушивание
и кто мешает ограничить число подключений с адного ip?
а какой код надо знать?
бот открывает iptables для одного ip
уж как работает iptables - всем известно
можно много чего если ты программист, системщик
и многие ли могут дать подключить что-то к кому, да и многие ли дадут подключить свой телефон к чужому компу?
конечно можно написать "токен" но его надо устанавливать - это и яблоко и андроид, и его так же надо как-то защищать - головняков будет выше крыши.
ну тогда всё нужно закрывать
тут скорее дудосника закроют.
ну а имена бота можно сменить/иметь про запас для таких умников, да и светить не следует
ты путаешь области применения и уровни защиты
если быть честным - от терморектального взлома ещё нет защиты

основную/дополнительную - дело вкуса
в общем - я интересуюсь мнением общества
и так получается что на все "обвинения" я высказал "опровержения"

есть куча сервисов где вход осуществляется через соцсети - существуют , тут тоже "соцсеть"
почему столько критики? боязнь нового?

вот для примера захотел зайти на хабр
нажимаю ВОЙТИ
открывается окошко ВОЙТИ
выбираю с помощью Facebook
требует электронный адерс или номер телефона и пароль
смысл?

а мне пофиг кто и что - я просто не хочу на чужом компе что-то вводить и оставлять следы от введённого.
в моём случае не требуется ничего такого.....
я считываю открытый код - и отправляю
телега осуществляет своё прямое назначение тащит открытый код по своим закрытым каналам
(рекламировать эти каналы нет необходимости)
мой сервер просто соотносит код/сессию/ChatId/телефон - и отдаёт нужные страницы
просто
Вот и всё.

ну с этого и надо было начинать.

в чём заключается "народность"?

а вот как раз за ней.
но пока только услышал нечто подобное тому что слышал про ws лет 9 назад.

WhatsApp использует аналогичное - только он публикует не число , а qr-код
принципиально это ничего не меняет.
он использует своё приложение для отправки на свой сервер кода, я использую телегграм для отсылки кода на свой сервер.
WhatsApp использует своё шифрование - телеграм своё.
WhatsApp считается нормальным авторизатором, а мой вариант?

о каких запросах ты говоришь? запросов от кого? кому?
если ты будешь со своего телефона "бомбить" бот - первым делом твои "запросы" достанут сервер телеги, и этот сервер забанит тебя, твой телефон. до моего сервера не дойдет.
да что такое 20 запросом серверу?
если ты будешь обновлять страницу чтоб загрузить мой сервер - так я забаню твой ip. и делов то.

на основании превышения числа обращений с одного телефона/клиента

не будь наивным если что и будет скомпроментировано - то только та часть информации, что относится к клиенту у которого и для которого готовится инфа.
ты можешь ходить как угодно, но на удалёнке не всякому можно поставить впн или ссш

мне так админить удобно.

это у телеги такие ограничения

мой хромой бот у меня на сервере может выдержать и 2000 обращений.
вопрос дойдут ли столько с сервера телеги - где ты найдёшь стока телеграм клиентов чтоб организовать такую атаку?
напишешь клиентов-ботов-вирусов и разошлёшь их кучи лохов? которые без телефона-номера будут бомбить сервер телеграм?
ты ваще в теме что такое телеграм?

а в чем отличие?
нужен телефон во всех случаях.
в любых вариантах надо приложение
в отличии от второго варианта - мой можно поставить на любую ось.
чем мой вариант не "коробочный"?
что в нем то?

задача в чем - соотнести конкретного юзера с его реквизитами на своём сервере
как это будет сделано без разницы
у нас есть хорошо закрытый канал от клиента до нашего сервер
на странице видим код - сервер связал этот код с сессией
у насесть устройство, которое мы можем однозначно идентифицировать на нашем сервере
видим код - с нашего устройства передаем по защищённому каналу к нам на сервер - где видим связку - устройство-код однозначно определяющих с откуда пришёл код ну и далее....
принцип один и тот же разница в деталях

PS
телеграм хорошо себя зарекомендовал - и защищённостью канала и стойкостью к блокировкам
как поведёт себя Microsoft Authenticator в подобных условиях не понятно
да и токены тоже под вопросом

mayton,

давай пиши про токены, я про бота

- защита и стойкость - проверены
- отсутствие каких-либо логинов/паролей.
- тел юзера прописывается админом на сервере, юзер с помощью бота регистрирует ChatId на сервере
(возможен вариант и саморегистрации номера юзером)
- при заходе на страницу видим только код - длина кода роли практически не несёт
- хацкер может сколь угодно обновлять страницу - сделать ограничение на количество и фильтровать
- хацкер может многократно слать сообщения боту с кодом - простая фильтрация по его ChatId - дальше
обработчика onUpdateReceived он не пройдёт
- большой нагрузки через бот не создать
- подключить множество ботов для атаки на одного бота - можно - но бесполезно
- сервер получил код - отправил страницу - значит сессия привязана к номеру телефона т.е. к конкретному
юзеру.
- командой боту можно закрыть страницу
- командами бота можно управлять данными на странице
- бот можно использовать как клавиатуру для ввода на страницу

чего не выдержит?
https://tlgrm.ru/docs/bots/faq#my-bot-is-hitting-limits-how-do-i-avoid-this
в моём варианте бот не рассылает сообщения - он только их принимает