Sto cercando un modo per creare un URL che consenta a un utente di accedere alla nostra applicazione senza fornire nome utente e password.
Abbiamo creato un'API che è protetta usando OAuth 2.0. Voglio approfittarne e creare la possibilità di ottenere un URL quando fornisci un token OAuth (il token è associato a un utente) che registra automaticamente l'utente. Penso che questo URL dovrebbe essere valido per 1 volta e solo per un certo intervallo di tempo.
Potrei generare un GUID o una sorta di stringa casuale e salvarlo nel database e rimuoverlo dopo per 10 secondi. Quindi, quando qualcuno richiede l'URL di accesso con un GUID, controlla se il GUID si trova nel database e imposta il cookie di autenticazione per l'utente. Potrei fare un ulteriore passo avanti, controllando se l'utente ha effettuato l'accesso su questa macchina impostando alcuni cookie e convalidando la presenza del cookie una volta che l'URL è stato utilizzato.
Mi chiedo se questo è sicuro e se ci sono altre soluzioni comuni?