Документация
API Яндекс.Почты для домена

Автоматическая авторизация в Яндекс.Почте

Вы можете организовать на вашем сервисе автоматическую авторизацию пользователей в Яндекс.Почте. В результате ваши пользователи, авторизуясь на сервисе, смогут входить в Яндекс.Почту без дополнительного ввода логина и пароля.

Логины пользователей сервиса должны соответствовать логинам почтовых ящиков в Почте для домена.

Чтобы авторизовать пользователя в Яндекс.Почте, нужно:

  1. Получить OAuth-токен с помощью запроса Получить OAuth-токен.

  2. Перенаправить браузер пользователя на URL OAuth-авторизации Яндекс.Паспорта, указав полученный OAuth-токен.

Рекомендации по обеспечению безопасности данных

Вы полностью ответственны за передачу логина авторизованного пользователя в Яндекс.Почту. Если вы передаете логин неавторизованного пользователя без каких-либо других авторизующих сущностей (пароль или id сессии в куке), то злоумышленнику будет очень просто получить доступ к почте этого пользователя.

Чтобы сохранить персональные данные ваших пользователей:

  • Используйте безопасные методы авторизации:

    • передавайте логин, пароль и другие авторизационные сущности по HTTPS;
    • формируйте длинные и трудно подбираемые авторизационные куки;
    • обновляйте авторизационную куку периодически.

  • Не используйте методы авторизации, которые облегчают доступ к почте как пользователям, так и злоумышленникам (например, «вечная» кука, «вечная» сессия или автологинящая ссылка).

Примечание. Завершение сеансов авторизованной работы на сервисе и в почтовом ящике происходят независимо. Пользователь при выходе из вашего сервиса может остаться авторизованным в почтовом ящике и наоборот.