我希望我的用户能够通过电子邮件中的网址立即登录:
如:
Hello User,点击此处访问您的帐户:https://mysite.com/?user=12345&login=38904753290875
用户编号将被修复,但登录名不是密码,只是一个24小时到期的一次访问令牌。
这是安全的,还是我还需要在登录时询问他们的密码?
注意,登录后,如果不提供密码,用户将无法更改密码。
答案 0 :(得分:2)
这是安全的,还是我还需要问他们的密码 登录?
安全性取决于您的身份验证设计。 良好的安全性,即使是单点登录,也不依赖于单一操作。
需要考虑的事项:
传输敏感信息(例如,即使网址为https,您对他们的电子邮件提供商有多确定) - 这些用户在最坏情况下可以做的影响 - 如何检测未经授权的行为,因为'id'有24小时免费游戏?