Автоматическая авторизация в Яндекс Почте

Внимание. Сервис Яндекс Почта для домена больше не поддерживается. API Почты для домена прекратит работу с 1 апреля 2023 года. С 24 марта доступность сервиса будет ограничена.

Для управления доменами, пользователями и организациями используйте сервис Яндекс 360 для бизнеса.

Документация API 360

Вы можете организовать на вашем сервисе автоматическую авторизацию пользователей в Яндекс Почте. В результате ваши пользователи, авторизуясь на сервисе, смогут входить в Яндекс Почту без дополнительного ввода логина и пароля.

Логины пользователей сервиса должны соответствовать логинам почтовых ящиков в Почте для домена.

Чтобы авторизовать пользователя в Яндекс Почте, нужно:

  1. Получить OAuth-токен с помощью запроса Получить OAuth-токен.

  2. Перенаправить браузер пользователя на URL OAuth-авторизации Яндекс Паспорта, указав полученный OAuth-токен.

Рекомендации по обеспечению безопасности данных

Вы полностью ответственны за передачу логина авторизованного пользователя в Яндекс Почту. Если вы передаете логин неавторизованного пользователя без каких-либо других авторизующих сущностей (пароль или id сессии в куке), то злоумышленнику будет очень просто получить доступ к почте этого пользователя.

Чтобы сохранить персональные данные ваших пользователей:
  • Используйте безопасные методы авторизации:
    • передавайте логин, пароль и другие авторизационные сущности по HTTPS;
    • формируйте длинные и трудно подбираемые авторизационные куки;
    • обновляйте авторизационную куку периодически.

  • Не используйте методы авторизации, которые облегчают доступ к почте как пользователям, так и злоумышленникам (например, «вечная» кука, «вечная» сессия или автологинящая ссылка).

Примечание. Завершение сеансов авторизованной работы на сервисе и в почтовом ящике происходят независимо. Пользователь при выходе из вашего сервиса может остаться авторизованным в почтовом ящике и наоборот.