Un URL di accesso automatico è un meccanismo tramite il quale un utente esistente ma disconnesso del tuo sito Web o applicazione può fare clic su un collegamento con un token casuale e essere automaticamente riconosciuto e connesso al tuo sito web. Spesso questi meccanismi sono usati in altre mode come il reset della password.
Mi domando quali siano alcune misure di sicurezza "di difesa in profondità" che suggerisci quando costruisci un meccanismo di "accesso automatico" che riduce il rischio di compromissione dell'account utente.
C'è qualcosa che può essere fatto oltre le misure tipiche?
- Token con una breve scadenza
- Token che può essere utilizzato solo una volta