Una URL de inicio de sesión automático es un mecanismo mediante el cual un usuario existente pero desconectado de su sitio web o aplicación puede hacer clic en un enlace con un token aleatorio y ser reconocido automáticamente e iniciar sesión en su sitio web. A menudo, estos mecanismos se utilizan de otras maneras, como los restablecimientos de contraseñas.
Me pregunto cuáles son las medidas de seguridad de "defensa en profundidad" que sugiere al crear un mecanismo de "inicio de sesión automático" que reduce el riesgo de que la cuenta de usuario se comprometa.
¿Se puede hacer algo más allá de las medidas típicas?
- Token con tiempo de caducidad corto
- Token que solo se puede usar una vez