我目前主要使用一次性代码发送电子邮件/短信来处理应用程序中的无密码身份验证。Auth0 和 Firebase 等提供商都提供电子邮件链接身份验证。但是,似乎两家提供商都强调,为了安全起见,请求浏览器的链接和单击响应浏览器的链接是相同的。即(auth0 完全需要它,firebase 需要存储在本地存储/cookie 中的初始电子邮件地址)
似乎魔术链接的简化实现可能是链接在查询参数中具有一次性代码,并且在用户登陆应用程序时,应用程序验证代码(类似于一次性代码)并验证用户。
我不清楚在其他设备/浏览器中打开的电子邮件链接在什么情况下会导致安全风险?
此外,在安全性方面,电子邮件链接与通过电子邮件将一次性代码发送给用户相比如何。