我正在寻找一个从不使用密码并想了解风险的应用程序。
Magic Link 指南经常建议给 JWT 令牌一个短 TTL 并实现一次性使用。
被泄露的电子邮件帐户似乎是一个静音点,因为可以使用密码提醒来检索密码。我们已经依赖电子邮件帐户。此外,与大多数自建应用程序相比,电子邮件的安全性(例如设备识别)要好得多。
如果您使用 HTTPS,将 JWT 令牌作为查询字符串参数传递是没有风险的,我会这样做。
强制一次性使用意味着维护服务器端令牌数据库——使用 JWT 的原因之一是不必这样做。
采用无密码意味着人们每次想要登录时都必须通过电子邮件往返,这不是很好的用户体验,但可以接受吗?
一旦他们获得访问权限,所有未来的身份验证都会像往常一样通过 JWT 进行管理。
我错过了什么吗?