マジックリンク認証の落とし穴

TL;DR 主にモバイル端末からの利用において、ユーザーが手間取ることが多い エンジニアなど、リテラシーが高いユーザー層を対象にした場合にのみ利用したほうが良さそう マジックリンク認証、使ってますか？ マジックリンク認証とは、メール内に記載されたリンクを踏むことで認証が完了する認証方式です。パスワード流出のリスクが無いことから、パスワード認証に比べてセキュアな点が特徴です。 Slackが採用しているため、ユーザーの立場で使ったことがある人は多いと思います。 筆者は一時期Firebaseを多用していたのですが、Firebase Authenticationを使用すると簡単にマジックリンク認証を実装することができ、またパスワード設定/変更/忘れ等を考慮する必要がないことから実装の手間を省けると考え、個人開発のプロダクトで採用しました。 実際開発は短期間で終わり、最小限のコード量で済んだことから

[korilog]

アプリ内ブラウザのメリット一切感じないので滅んでほしい。LINEとか

[tkawa]

1はREST(HTTP)の原則から考えてもGETでのログインはNG。フォームを出してPOSTさせることで回避できる

[canadie]

独自ドメインを使っているとドメインが乗っ取られた時に認証を迂回されるリスクはある 過去の事例→わhttp://blog.livedoor.jp/nipotan/archives/51829141.html

[nakex1]

メール内のリンク踏みたくない。ユーザー登録やログインをしようとしたタイミングで偽メールが届かないとは限らないもの。

[NOV1975]

1の回避策は散々言われているけど、ワンタイムURLの無効化と認証処理はリンクを踏むことだけでやってはならない、というのは最近常識だと思ってたわ。

[hoppie]

あんまりマジックリンクかんけいないような

[nilab]

「プレビュー表示で認証ロジックが動作してしまう」「アプリ内ブラウザでログインしてしまう」

[kanehama]

マジックリン？？と思ったのは内緒だよ。

[t_f_m]

"メールアプリ上でリンクを踏んだ際に、アプリ内ブラウザで開いてしまうと、当然普段利用しているブラウザアプリではログイン状態となりません"