这样的无密码登录方案有什么硬伤不？

登陆邮箱还要输入密码.还不如直接输入密码方便.

登录链接是只能用一次还是一直可以用？如果一直可用的话，限不限制来源 IP？
登录 cookie 因为某种原因丢失了呢？

----------------------
作为后备方式的话，倒是问题也不大。
为了安全，建议：
1) 登录链接只能用一次
2) 用户可以随时请求一个新的登录链接发到邮箱

你搞这个关键还是cookie有效期怎么控制，还有小心XSS

@letitbesqzr 一般人主用的登录邮箱不用密码了吧，都是记住登录了。

@dorentus 当然只能用一次，登录cookie没有了可以再登录，发链接到同一邮箱，还是进原来的帐号，数据不会没有（因为帐号是用目标邮箱创建的）。

@niseter XSS不是和别的登录方案一样的，cookie有效期永久，毕竟基本上都是在自已电脑上操作，当然也有一个退出连接可以删除cookie。

安全性上应该没多大问题，但是便利性值得商榷，如果还要支持移动设备，那就更蛋碎了。

还有就是要考虑下你的邮件送达率，以及如何防spamer，给我的感觉就是这种登录方式很脆弱。不过如果你面对的比较小的用户群体，那应该没啥问题。

@Shieffan
脆弱应该不至于，因为现在很多网站注册的时候也是要去邮箱收一个验证连接才能用的，没有本质上的不同，spamer也是一样的，同样是限制ip操作的频率。

因为cookie是永久的，每个设备只需做一次，便利性上应该不是问题。
而且有必要的话还可以在网站设置里加一个密码输入框，如果设置的话可以用这个密码登录。

邮箱登陆, 并不是每个邮箱都是这么方便的, 如果遇到不怎么使用邮箱的人, 反而更糟糕. 安全性和稳定性, 完全是依赖邮件服务商的良心和用户的一些相关习惯.

密码, 只要大脑能正常工作就可以完成认证呐...

用户稍多，发信地址早晚进各家邮局黑名单。

@love 我们公司用的sendgrid的邮件服务，邮件送达率也只是在90%徘徊。

如果再碰到蛋疼点的邮件服务商，那就更让人捉急了。像QQ这种检测你发送阀值的，动不动就给你block了。

不过按你说的“而且主要的登录手段是社交网站登录”，我觉得你的登录方案应该可以应付你的需求。

就是阮一峰说的第五条：http://www.ruanyifeng.com/blog/2012/10/password-less_login.html

@love 你这个一般人主邮箱都记住密码了，太自主加妄断了

The Magazine就是这么做的..
https://the-magazine.org/login

@niseter 只要加上httponly就不怕xss了。

主要看受众群体，有些人查个邮件比注册还麻烦。移动端也是。