未经许可，不得转载。

前言

DigiLocker 是一项在线服务，旨在为公民提供一个安全的数字平台，用于存储和访问重要的文档，如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证（MFA）来保护用户账户安全，通常包括 6 位数的安全 PIN 和一次性密码（OTP）验证。

正文

在登录过程中，我输入了我的手机号。随后，在一个 POST 请求中，我看到了与该手机号关联的所有账户，每个账户都带有一个唯一的 digilockerid：

当我输入 PIN 并进入到 OTP 验证页面时，发现了一个“更新手机号”的选项。点击后，我输入了原始手机号的验证码，接着，系统让我输入一个新的手机号。输入后，我拦截了请求，并注意到其中有一个参数叫做“user”，它正是 digilockerid：