Firebase身份验证逻辑不正确？

嘿，Firebase团队和专家们，我正在开发一款集成Firebase auth的应用程序。 我使用它的方式是基本的。我有一个应用程序，可以让用户通过手机进行身份验证。 然后，它会询问他们的电子邮件地址，并使用

firebase.auth（）.currentUser？.sendEmailVerification（actionCodeSettings）

向他们发送验证电子邮件。 当他们点击链接时，他们的电子邮件将被验证，然后在网页上单击“继续”，这将使用深层链接返回应用程序

用户可以使用

firebase.auth（）.currentUser？.updateEmail

更新他们的电子邮件，当他们更新电子邮件时，我会使用

firebase.auth（）.currentUser？.sendEmailVerification（actionCodeSettings）

向他们更新的电子邮件发送另一封验证电子邮件。 除此电子邮件外，还会自动向用户发送“电子邮件地址更改”电子邮件。我喜欢这样

但是，当您单击该链接时，它会进入一个网页，通知用户电子邮件已恢复，可能有人正在对其进行黑客攻击。它有一个链接来重置他们的密码。 这是逻辑错误，因为他们从未创建密码。我使用电子邮件发送无密码电子邮件链接。 更奇怪的是，当你点击链接重置密码时，用户实际上会收到一封电子邮件来重置密码

这里发生了什么，我错过了什么？我需要调整一下吗