Как запретить странице «Подтвердить адрес электронной почты для входа» в ссылке электронной почты - Firebaseui?

Question

Я использую аутентификацию Firebase в своем веб-приложении, один из методов входа - вход по электронной почте (без пароля). Во время тестирования у меня был экран (который можно было повторить только один раз) с надписью «Подтвердить адрес электронной почты», он расположен внутри заголовка и отображается при входе в систему.

Есть что-то, чего следует избегатьэто? или в чем причина этого?

Answer 1

Это происходит, если открыть ссылку на другом устройстве или в другом браузере. Если пользователь откроет его в том же браузере / устройстве, он не увидит это сообщение.

Это необходимо по соображениям безопасности для предотвращения атак фиксации сеанса . Например, я мог бы создать ссылку для входа в популярное приложение, но обмануть другого ничего не подозревающего пользователя, чтобы открыть эту ссылку. Если электронное письмо не подтверждено, жертва войдет в мою учетную запись, и я смогу отслеживать ее деятельность. Однако, если пользователя попросят подтвердить свою электронную почту, он сможет предотвратить эту атаку.