Passwordless: middleware d'authentification pour Express

"One-Time PassWord" (OTPW) : mot de passe à usage unique. C'est ce vers quoi poussent certains experts en sécurité, surtout depuis Heartbleed.

Prenant en compte le fait que les utilisateurs ne prennent pas forcément la peine de créer des mots de passe robustes et, s'ils le font, ne créent pas un mot de passe par site internet sur lequel ils sont inscrits, les développeurs du module passwordless ont décidé d'aller au bout de cette logique en permettant d'ajouter à votre site Express une authentification via un unique champ texte. Ce champ demandera uniquement votre adresse email. Vous recevrez alors par email un lien contenant un paramètre get 'token' dont la valeur sera le token provisoire qui vous permettra d'être reconnu. Côté server, votre token provisoire sera vérifié puis un token plus durable sera utilisé sur le poste (ou device) sur lequel s'est produite l'opération.

L'important, c'est que la logique est proche de celle utilisée habituellement sur les sites qui permettent à l'utilisateur de générer un nouveau mot de passe lorsqu'il oubli son mot de passe actuel, mais surtout que les problèmes de sécurité causés par des mots de passe trop simples - ou à l'inverse la difficulté de se souvenir de mots de passe compliqués - sont résolus.
passwordless