在使用带有 angular 和节点后端的 Google 身份工具包时，我偶然发现了以下问题。有密码重置功能来重置用户密码，请求直接从客户端发送到谷歌 API。但是，未经身份验证的攻击者可以枚举我客户的电子邮件地址。

POST /identitytoolkit/v3/relyingparty/getoobConfirmationCode
...
{
"requestType":"PASSWORD_RESET","email":"peter@smith.de","continueUrl":"https://redacted.com/index","canHandleCodeInApp":true
}

如果电子邮件存在，API 会回复 HTTP 200 OK，如果电子邮件不存在，回复 HTTP 400。我该如何缓解这个问题？我希望 API 的响应始终相同。

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）