我正在寻求创建一个从不使用密码并且想要了解风险的应用程序。
Magic Link指南通常建议给JWT令牌一个简短的TTL并实现一次性使用。
一个受损的电子邮件帐户似乎是一个沉默点,因为可以使用密码提醒来检索密码。我们已经依靠电子邮件帐户了。此外,与大多数自建应用程序相比,电子邮件的安全性(例如设备识别)要优越得多。
如果您使用HTTPS,那么将JWT令牌作为查询字符串参数传递不会带来危险。
一次性使用意味着维护服务器端令牌数据库-使用JWT的原因之一就是不必这样做。
采用无密码方式意味着人们每次登录时都必须经历电子邮件往返,这不是一个很好的UX,但是可以接受吗?
一旦他们获得访问权限,所有以后的身份验证将照常通过JWT进行管理。
我想念什么吗?