迈向无密码验证的未来
这些链接是通向神奇的无密码身份验证未来的前沿技术。
用户身份验证对于任何商业应用程序来说都是至关重要的话题。它需要在安全性与用户体验之间取得平衡,既要高度安全,又要保证流畅的用户体验。
自互联网诞生之初,密码一直是事实上的用户验证方式。最初,诸如“1234”或“qwerty”等简单密码即可满足需求,直到网络犯罪分子开始利用这些弱点牟利。
随后出现了密码管理器,它们可以生成并存储复杂的密码,从而提供更安全的登录体验。然而,使用这些工具仍然存在一些不便之处,出于种种原因,许多人仍然不愿意使用它们:
数据来源:statista.com
因此,我们需要一种更简单、更安全的方式。
欢迎来到无密码身份验证时代!
这是一种现代且相对安全的替代方案,它比传统的密码方式更加友好和无缝。
例如,我非常喜欢 Apple 的 Face ID,它就是一种无密码身份验证方式。同样,生物特征识别和一次性密码也属于无密码验证。
还有许多类似的技术,其中就包括魔法链接。
什么是魔法链接?
魔法链接是指用户输入用户名,然后在关联邮箱中收到一个链接,点击该链接即可登录的方式。
在理想的世界中,如果电子邮件运行完美,并且所有平台都使用魔法链接进行身份验证,那么用户只需要记住其电子邮件服务提供商的一个密码。
其余的事情都由魔法链接处理。从用户的角度来看,这无疑更加便捷。此外,这也使得密码破解尝试变得多余且毫无意义。
因此,我们在此向您介绍一些工具,可以帮助您将魔法链接集成到您的应用程序中。
精选魔法链接平台
Stytch
Stytch 最棒的地方在于其简单的实施过程,以及帮助您入门的免费计划。
您可以通过两种方式将魔法链接集成到 Stytch 中:API 和 SDK。
目前,Stytch SDK 可用于 JavaScript、React 和 Next。这是快速启动和运行的最简便方法。您将获得一个可以为您的品牌进行定制的预构建用户界面。
另一方面,Stytch API 让您可以完全控制设计。
免费计划适用于每月 5,000 个活跃用户 (MAU);之后,您需要按需付费。
付费订阅提供更多设计自定义选项,并且不带 Stytch 品牌。
FusionAuth
FusionAuth 也拥有自己的用户界面,仅需要最少量的输入,其无密码 API 具有极高的灵活性。
它的魔法链接会发送一个有时限的代码,用户必须在登录表单中输入该代码才能继续。不过,API 选项允许您通过短信或推送通知发送此代码,以获得更流畅的体验。
此外,FusionAuth 还具有 Google One Tap 身份验证功能,它会自动检测浏览器中活跃的 Google 帐户并弹出,让用户只需单击一下即可登录。
FusionAuth 有两个基于托管的订阅选项。
您也可以选择自托管,它有一个免费的社区支持计划,对每月活跃用户没有任何限制。不幸的是,云托管没有免费计划。不过,您可以免费试用其基本计划 14 天。
WorkOS
WorkOS 提供了多种编程语言的 SDK,包括 Node.js、Ruby、Python、Java、.Net 等,可以帮助您快速入门。
您可以使用其 WorkOS API 或自定义电子邮件提供商来发送魔法链接身份验证电子邮件。这种一次性链接的有效期为 15 分钟。
WorkOS 提供了多种电子邮件模板,您也可以自定义这些模板,以便更好地适应您的品牌。
最后,您可以免费开始使用,无需任何预付款。
MojoAuth
MojoAuth 通过与 WordPress、Webflow、Bubble 等平台的即时集成,确保了最快的魔法链接实施速度。
其 SDK 支持多种语言和平台,例如 Node.js、Java、Android、Golang、iOS、PHP、Asp.net 等。
此外,其 API 允许开发人员根据用例开发定制应用程序。MojoAuth 还允许通过其独立的 API 在典型的多因素身份验证 (MFA) 设置中使用魔法链接。
MojoAuth 的亮点在于它为用户提供的白标 UI 和 99.9% 的正常运行时间保证。
基本计划从每月 1,000 个活跃用户开始,所有计划都具有无限用户、无限登录、电子邮件 OTP、团队管理等功能。虽然没有免费计划,但您可以免费试用 30 天。
Supabase
Supabase 是一个用于管理魔法链接身份验证的开源工具。
使用 Supabase 有两种方式。第一种是直接在 Supabase 项目中添加无密码身份验证作为 Postgres 数据库。或者,可以使用 JavaScript 或 Flutter 将登录代码输入到他们的应用程序中。
在定价方面,您可以免费获得最多 50,000 个 MAU 和 200 个并发连接。付费计划增加了电子邮件支持、每日备份、7 天日志保留、更大带宽等功能。
Clerk
Clerk 保证提供顶级的魔法链接功能,只需几分钟即可完成实施和运行。
其魔法链接身份验证包括使用没有一次性密码 (OTP) 的链接进行重定向。此外,还可以添加魔法链接作为 MFA 过程的一部分。
Clerk 的 API 可用于 Next.js、React 和 JavaScript。您可以使用其魔法链接身份验证进行注册、登录和电子邮件地址验证。
它的免费计划提供 5000 个 MAU、无限的总帐户数、自定义域和带有自己品牌的社区支持。付费计划增加了无限 MAU 和自定义域、允许列表/阻止列表、MFA、自定义会话持续时间等。
Descope
Descope 的魔法链接允许使用登录 URL 和 OTP,并提供慷慨的永久免费层,最多可为初创公司提供 7,500 个 MAU。
凭借 SDK、API 和 Flows 等灵活选项,实施过程也十分简便。
Descope Flows 是一个无代码拖放界面,可用于创建用户交互响应。它带有流程构建器、屏幕构建器和设计自定义工具,可以实现最快的入门体验。
此外,SDK 为您提供了客户端 SDK 和后端 SDK 两个选项,具体取决于您是希望 Descope 处理会话管理还是将您自己的服务器集成到 Descope 服务中。
最后,它们的 REST API 适用于具有卓越灵活性的高级用例。
尽管如此,我最喜欢 Descope 的地方是免费套餐没有水印,而且还提供 99% 的 SLA,这使其成为任何初创公司的不错选择。
EZiD
目前,EZiD 最适合希望在其应用程序中部署魔法链接身份验证的开发人员。
用户可以使用他们的 API 来完全按照他们的意愿构建身份验证流程。
EZiD 没有免费套餐。此外,他们的基本计划最多允许 500 个 MAU,并且带有自己的品牌。只有当您升级到更高层级的计划时,才能从用户界面中删除 EZiD 品牌。
优点是它采用按需付费定价模式,对登录次数没有限制。
它们真的很神奇!
如果您可以确保出色的电子邮件送达率,那么就没有理由不使用魔法链接身份验证。
它们通常是比密码更快、更友好的替代方案。但是,您可以尽量避免在魔法链接电子邮件中使用 OTP,因为它违背了它们的初衷。更可取的是让用户点击单个链接即可登录。
这就是我的看法。下次再见!
附:请查看多因素身份验证综合指南。