а мне пофиг кто и что - я просто не хочу на чужом компе что-то вводить и оставлять следы от введённого.
в моём случае не требуется ничего такого.....
я считываю открытый код - и отправляю
телега осуществляет своё прямое назначение тащит открытый код по своим закрытым каналам
(рекламировать эти каналы нет необходимости)
мой сервер просто соотносит код/сессию/ChatId/телефон - и отдаёт нужные страницы
просто
Вот и всё.

ну с этого и надо было начинать.

в чём заключается "народность"?

а вот как раз за ней.
но пока только услышал нечто подобное тому что слышал про ws лет 9 назад.

WhatsApp использует аналогичное - только он публикует не число , а qr-код
принципиально это ничего не меняет.
он использует своё приложение для отправки на свой сервер кода, я использую телегграм для отсылки кода на свой сервер.
WhatsApp использует своё шифрование - телеграм своё.
WhatsApp считается нормальным авторизатором, а мой вариант?

о каких запросах ты говоришь? запросов от кого? кому?
если ты будешь со своего телефона "бомбить" бот - первым делом твои "запросы" достанут сервер телеги, и этот сервер забанит тебя, твой телефон. до моего сервера не дойдет.
да что такое 20 запросом серверу?
если ты будешь обновлять страницу чтоб загрузить мой сервер - так я забаню твой ip. и делов то.

на основании превышения числа обращений с одного телефона/клиента

не будь наивным если что и будет скомпроментировано - то только та часть информации, что относится к клиенту у которого и для которого готовится инфа.
ты можешь ходить как угодно, но на удалёнке не всякому можно поставить впн или ссш

мне так админить удобно.

это у телеги такие ограничения

мой хромой бот у меня на сервере может выдержать и 2000 обращений.
вопрос дойдут ли столько с сервера телеги - где ты найдёшь стока телеграм клиентов чтоб организовать такую атаку?
напишешь клиентов-ботов-вирусов и разошлёшь их кучи лохов? которые без телефона-номера будут бомбить сервер телеграм?
ты ваще в теме что такое телеграм?

а в чем отличие?
нужен телефон во всех случаях.
в любых вариантах надо приложение
в отличии от второго варианта - мой можно поставить на любую ось.
чем мой вариант не "коробочный"?
что в нем то?

задача в чем - соотнести конкретного юзера с его реквизитами на своём сервере
как это будет сделано без разницы
у нас есть хорошо закрытый канал от клиента до нашего сервер
на странице видим код - сервер связал этот код с сессией
у насесть устройство, которое мы можем однозначно идентифицировать на нашем сервере
видим код - с нашего устройства передаем по защищённому каналу к нам на сервер - где видим связку - устройство-код однозначно определяющих с откуда пришёл код ну и далее....
принцип один и тот же разница в деталях

PS
телеграм хорошо себя зарекомендовал - и защищённостью канала и стойкостью к блокировкам
как поведёт себя Microsoft Authenticator в подобных условиях не понятно
да и токены тоже под вопросом

mayton,

давай пиши про токены, я про бота

- защита и стойкость - проверены
- отсутствие каких-либо логинов/паролей.
- тел юзера прописывается админом на сервере, юзер с помощью бота регистрирует ChatId на сервере
(возможен вариант и саморегистрации номера юзером)
- при заходе на страницу видим только код - длина кода роли практически не несёт
- хацкер может сколь угодно обновлять страницу - сделать ограничение на количество и фильтровать
- хацкер может многократно слать сообщения боту с кодом - простая фильтрация по его ChatId - дальше
обработчика onUpdateReceived он не пройдёт
- большой нагрузки через бот не создать
- подключить множество ботов для атаки на одного бота - можно - но бесполезно
- сервер получил код - отправил страницу - значит сессия привязана к номеру телефона т.е. к конкретному
юзеру.
- командой боту можно закрыть страницу
- командами бота можно управлять данными на странице
- бот можно использовать как клавиатуру для ввода на страницу

чего не выдержит?
https://tlgrm.ru/docs/bots/faq#my-bot-is-hitting-limits-how-do-i-avoid-this
в моём варианте бот не рассылает сообщения - он только их принимает