問題タブ [password-less]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
hyperlink - マジック リンク JWT トークンに、HTTP 経由で配信されるものよりも短い TTL を与えることが推奨されるのはなぜですか? また、なぜワンタイムなのですか?
パスワードを使用しないアプリケーションを作成し、リスクを理解したいと考えています。
Magic Link ガイドでは、多くの場合、JWT トークンに短い TTL を与え、1 回限りの使用を実装するよう提案しています。
パスワード リマインダーを使用してパスワードを取得できるため、侵害された電子メール アカウントはミュート ポイントのようです。私たちはすでに電子メール アカウントに依存しています。さらに、電子メールに関するセキュリティは、ほとんどの自作アプリケーションよりもはるかに優れています (たとえば、デバイスの認識)。
HTTPS を使用する場合、JWT トークンをクエリ文字列パラメーターとして渡すことはリスクではありません。
1 回限りの使用を強制するということは、サーバー側のトークン データベースを維持することを意味します。JWT を使用する理由の 1 つは、これを行う必要がないことです。
パスワードレスを採用するということは、ユーザーがログインしようとするたびに電子メールを経由しなければならないことを意味し、これはそれほど優れた UX ではありませんが、許容できるのでしょうか?
彼らがアクセス権を取得すると、今後のすべての認証は通常どおり JWT を介して管理されます。
何か不足していますか?