我在Web应用程序中使用Firebase身份验证,我的登录方法之一是电子邮件链接登录(无密码)。在测试时,我看到一个屏幕(只能复制一次),上面写着“确认电子邮件”,它位于标题内,并在完成登录之前显示。
有什么需要避免的吗?或原因是什么?
答案 0 :(得分:0)
如果在其他设备或其他浏览器上打开链接,则会发生这种情况。如果用户在同一浏览器/设备上打开它,则不会看到此消息。
出于安全原因,需要防止session fixation attacks。例如,我可以为一个流行的应用程序生成登录链接,但会欺骗另一个毫无戒心的用户打开该链接。如果未确认电子邮件,则受害者将登录到我的帐户,我将能够监视他们的活动。但是,如果要求用户确认其电子邮件,则他们将能够阻止该攻击。