我是新手,如果天真,请原谅我。
我一直在为雇主构建一些简单的Web应用程序,并在学习身份验证的基础知识。
我很好奇,如果不要求用户输入ID和密码,而是只要求提供电子邮件地址,然后自动发送包含经过身份验证的链接的电子邮件(这很有趣, 15分钟)。这种方法至少不像用户的电子邮件加密一样安全吗?
我猜一个令人头疼的问题可能是制造者向其他人的电子邮件帐户发出链接请求(造成流量和垃圾邮件),但是许多商业网站都使用此方法来重置丢失的密码(我只是使用该方法来重置我的密码丢失了StackOverflow密码),为什么不将其设置为标准程序呢?
谢谢。