android - 无密码应用登录

我们正在运行一个应用程序并使用 Facebook 登录识别我们的用户。不幸的是，Facebook 登录并不是登录应用程序的最佳方式，我们的用户想要不同的东西。因此，我们正在尝试讨论一种登录我们应用程序的新方法。我们提出了一种“无密码”登录解决方案，它基本上是一种网络事物，在智能手机应用中还不是很常见。

一个想法是让用户在注册时输入他的用户名和电子邮件并将其保存到我们的网络服务中。用户会收到一封电子邮件，其中包含他的登录凭据或带有在应用程序中识别他的 token 的链接。问题可能是电子邮件是应用登录确认的错误媒介。

第二个想法是生成一个本地 token 并将其用作“密码”，通过例如在用户设备之间同步。 iCloud。这样我们就无法知道用户是否真的“真实”。

我们的第三个想法有点混合，用户只需要在他想在不同的设备上登录时输入密码。

那么，您认为将这种机制实现到跨平台智能手机应用程序中的最佳方式是什么？

我们是否完全错过了一些重要的事情？

我将不胜感激富有成效的建议。

---

Best Answer-推荐答案

我认为你的第一个选择是最好的，尽管你说电子邮件是一种糟糕的媒介。

如果您不以某种方式将 session 绑定(bind)到电子邮件，则用户将无法在将来恢复此类类似于密码的 session 。此外，冒充别人的邮件也很容易。您需要在等式中包含邮件，否则您只需在服务响应中发送一个 token ，就好像它是一个登录调用一样。

关于android - 无密码应用登录，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/24143074/