我在Azure上有一个REST API,并通过B2C身份验证进行了保护。事实是,某些需要确认或拒绝约会的电子邮件收件人不是注册用户。我想给他们一个链接,他们可以单击该链接,这将在数据库中设置一个特定的会议以得到他们的响应-但是他们没有使用API的身份验证。
我最初的想法是创建一些API端点,这些端点只会修改响应值-但同样,它们将无法访问API。
是否可以为任何用户手动生成身份验证代码?还是让具有身份验证的开发人员用户从中窃取代码以某种方式包含在电子邮件标题中?
这里的最佳做法是什么
答案 0 :(得分:1)
您可以给他们提供密码,该密码将在24小时内过期,或者一次密码,或者在电子邮件的链接中包含一次加密令牌(最佳选择)