パスワードを使用しないアプリケーションを作成し、リスクを理解したいと考えています。
Magic Link ガイドでは、多くの場合、JWT トークンに短い TTL を与え、1 回限りの使用を実装するよう提案しています。
パスワード リマインダーを使用してパスワードを取得できるため、侵害された電子メール アカウントはミュート ポイントのようです。私たちはすでに電子メール アカウントに依存しています。さらに、電子メールに関するセキュリティは、ほとんどの自作アプリケーションよりもはるかに優れています (たとえば、デバイスの認識)。
HTTPS を使用する場合、JWT トークンをクエリ文字列パラメーターとして渡すことはリスクではありません。
1 回限りの使用を強制するということは、サーバー側のトークン データベースを維持することを意味します。JWT を使用する理由の 1 つは、これを行う必要がないことです。
パスワードレスを採用するということは、ユーザーがログインしようとするたびに電子メールを経由しなければならないことを意味し、これはそれほど優れた UX ではありませんが、許容できるのでしょうか?
彼らがアクセス権を取得すると、今後のすべての認証は通常どおり JWT を介して管理されます。
何か不足していますか?