Ótima sugestão e eu tinha pensado isso de início porque de fato é muito mais... · filipedeschamps

Em resposta a fazer login automatico assim que a conta é validada

Ótima sugestão e eu tinha pensado isso de início porque de fato é muito mais cômodo... mas meu receio é abrir um problema de segurança de pessoas fazendo script para chutar um token de autorização (que é difícil, mas possui um formato válido conhecido de UUIDv4).

Em paralelo, pouco importa també porque as pessoas podem fazer script para chutar email + senha e provavelmente tem uma chance maior de achar uma combinação dado a características humanas e pelo fato da senha não expirar (diferente do token que expira). Então tudo isso realmente se protege com rate limiting.

Mas não sei, como nenhum site que vi implementa dessa forma (automática), eu fico me perguntando o motivo. Alguém consegue especular um motivo?

Conteúdo excluído

filipedeschamps

Autor

4 anos atrás

Então inicialmente o login do TabNews ia ser somente por email, ia ser "passwordless", mas depois de discutir numa issue que se a pessoa não conseguir receber o email, ela também não consegue logar, descartamos e acabamos implementando o modelo tradicional de senha. Mas o "passwordless" me agrada muito e ainda acho que deveríamos voltar com esse assunto.

Agora sobre essa parte:

Não consigo pensar em outra brecha, até pq vc só vai manter a sessão do usuário logada, não vai definir nada.

Não entendi muito bem, mas há um risco dessa sessão ser de um usuário privilegiado e daí o problema é bem maior.