无密码登录完全摒弃密码:用户通过输入一次性验证码来证明其持有某个手机号或电子邮件地址,验证码本身就是凭证。使用 Bird Verify,流程同样是发送然后验证——无需存储、重置或担心泄露密码,静默网络认证也在规划中,届时连输入验证码的步骤都将省去。
verify.ts
200 · pending
import { BirdClient } from "@messagebird/sdk";
const bird = new BirdClient({ apiKey: process.env.BIRD_API_KEY! });
// Send the code, then check it by recipient.
await bird.verify.verifications.create({
to: { email_address: "ada@example.com" },
}).safe();
const { data } = await bird.verify.verifications.check({
to: { email_address: "ada@example.com" },
code: userInput,
}).safe();验证码在这里不是第二因素,而是唯一因素。
无密码登录就是将 Bird Verify API 直接用作登录方式:为用户登录的地址创建一次验证,然后检查其输入的验证码——验证通过即表示已登录。无需保护密码记录,无需存储验证 ID,每个用户使用哪个通道可按国家/地区配置。如果您选择在前面保留密码,同样的接口调用即可实现双因素认证。
无密码登录带来的优势。
存储更少,风险更低。
- 01
无密码可被泄露。
没有密码哈希可泄露,没有重置流程可钓鱼,也没有跨站点的凭证重用。认证因素就是对通道的持有。
- 02
注册和登录共用一个流程。
同一个创建-验证流程既可在注册时验证新地址,也可在登录时重新验证。一条路径,而非两条。
- 03
SMS、电子邮件或 WhatsApp 作为凭证。
使用您已拥有的用户通道(SMS、电子邮件或 WhatsApp)让用户登录,语音通道也即将推出,提供更多选择。
- 04
静默认证已在规划中。
运营商网络(静默)验证无需输入验证码即可证明号码归属,它作为未来通道已纳入设计,届时无需重写代码即可进一步降低操作摩擦。
无密码登录的工作原理
- 01
用户输入要登录的电子邮件或手机号。
- 02
一次创建调用即可向该地址发送一次性验证码。
- 03
用户在您的页面上输入验证码。
- 04
按接收者进行一次验证调用。验证通过即授予会话,无需比对密码,无需存储任何内容。
用验证码登录,而非密码。
将验证码发送到用户输入的地址,然后进行验证。验证通过即完成登录——没有密码需要比对。
passwordless.ts
200
await bird.verify.verifications.create({
to: { email_address: input.email },
}).safe();
const { data } = await bird.verify.verifications.check({
to: { email_address: input.email },
code: submitted,
}).safe();
// a true result is the login — no password to compare
if (data.result) grantSession(input.email);无密码登录常见问题
无密码登录和双因素认证有什么区别?+
双因素认证中,验证码是密码之上的第二重证明。无密码登录则去掉密码,将验证码作为唯一凭证。两者都是同样的 Bird Verify 发送-验证流程——区别仅在于前面是否有密码。
没有密码的无密码登录安全性会更低吗?+
它移除的正是最易受攻击的凭证:密码会被重用、钓鱼和泄露。一次性验证码通过加密方式生成,仅以哈希形式存储,并受到尝试次数锁定和发送频率限制的保护,因此通道的持有就是认证因素。
用户能否无需输入验证码即可登录?+
这正是静默(运营商网络)认证的方向:通过移动网络确认手机号,无需输入验证码。它作为未来通道已纳入 Verify 模型的设计,因此后续采用时无需重构您的登录架构。
我的用户会看到验证码来自谁?+
Authifly,Bird 的验证品牌。它是您的用户收到的每个验证码上显示的身份:电子邮件来自 otp@verify.authifly.com 或您自己的已验证域名,SMS 和 WhatsApp 均以 Authifly 品牌呈现。authifly.com 是一个公开页面,向收件人保证 Authifly 代表企业发送合法的一次性验证码。Bird 是您构建的平台;Authifly 是收件人看到的品牌。