因此,这是一个身份验证链接,我们使用该特定电子邮件的一些令牌自动生成,我们不希望用户转发它,即使他/她转发它,我们也想知道它来自哪个电子邮件地址从?如果它不是来自原始电子邮件,我们希望停止身份验证。 如果我们可以获得电子邮件的任何详细信息或任何类型的标题详细信息或电子邮件检查,那就太好了。
我必须实施这样的控制,最后我将身份验证链接链接到收件人电子邮件。激活链接后,2FA 代码将发送到相同的邮件地址,并且需要完成该过程。由于输入代码的时间有限,因此它不是 100% 而是在更安全的基础上确保链不会受到损害。
在另一个应用程序中,我将其与 Google Authenticator 结合使用...这更安全,因为它非常不确定用户是否会传输原始邮件并将其设备提供给其他用户:)