Security 仅作为身份验证的电子邮件

作为穷人的OpenID，只使用电子邮件地址（没有用户名，没有密码）进行身份验证怎么样

注册过程将只需要用户的电子邮件，并向其发送一个带有随机nonce的链接以进行登录，就像许多密码恢复/电子邮件验证服务通常所做的那样。验证nonce之后，服务将像往常一样在浏览器中设置一个（永久）cookie，并将其用作标识。如果用户希望使用另一台机器/浏览器，则必须发送另一条消息

---

我从来没有见过一个网站做这样的事情。你觉得这个计划怎么样？是否有任何明显的安全漏洞我没有看到（考虑到通常的事情，如保护cookies仅为https，得到正确的完成）？如今，通过垃圾邮件过滤器获取此类电子邮件是否困难？你认为用户很难适应吗？你看到可用性问题了吗？

这是不安全的。默认情况下，电子邮件以明文形式发送，并且您不能保证它们将被加密发送（用户的邮件服务器可能不支持TLS）。此外，还有一些边缘情况：一个电子邮件收件箱可能由多个人访问；电子邮件地址将来可能会被其他人拥有，尤其是在工作电子邮件地址的情况下。是的，有时您希望帐户由您电子邮件地址的继承人继承，但有时您不希望

---

但是，具有“重置密码”功能且不需要任何其他身份验证（除了您阅读电子邮件和使用该功能的能力外）的网站同样不安全！它们看起来更安全。

既然你提到了OpenID，为什么不沿着这条路走呢？还是OAuth？罗宾在下面的回答很好——不要这样做！有一个很好的理由可以解释为什么你从未见过其他网站这么做：）