<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div>Hi all,<br><br></div>we have a couple of use-cases where login is password-free and is based on email link with a login key, for example:<br></div>* consumer is allowed to review merchant or product without registration<br></div>* customer receives confirmation email on review submission<br></div>* consumer logs in on a client application without password using a link in the confirmation email, but is not authorized to update review comment<br></div>* if consumer logs in using username/email and password (e.g. after registration), &quot;update review comment&quot; functionality becomes available<br><br>We have to support such use-cases, if we decide to adopt Keycloak.<br><br></div>I searched  through Keycloak JIRA tickets, but found the only similar feature request &quot;Invitation email&quot; <a href="https://issues.jboss.org/browse/KEYCLOAK-439">https://issues.jboss.org/browse/KEYCLOAK-439</a><br><br></div>Should I submit another feature request for our use case?<br><br></div><div>My vision:<br></div><div>* implement optional email-link authenticator (<a href="http://keycloak.github.io/docs/userguide/html/auth_spi.html#auth_spi_walkthrough">http://keycloak.github.io/docs/userguide/html/auth_spi.html#auth_spi_walkthrough</a>)<br></div><div>* client application creates new user via <span class=""><a href="http://keycloak.github.io/docs/userguide/html/admin-rest-api.html">Admin REST API</a></span> and sets credential type to &quot;email_link&quot; and value to login key. Then it sends email including login link<br></div><div>* I suppose that it is difficult or even impossible to transmit query parameters via Open ID Connect flow, so the link could point to unprotected page storing username and login key in a cookie<br></div><div>* email-link authenticator checks presence of the email-link cookie and if found tries to authenticate user using username and key values provided in the cookie<br></div><div>* if no cookie is set or login fails, user is redirected to login form<br><br></div><div>Challenge: how to limit roles bound to user session if login type &quot;email_link&quot; is used, may be via configuration parameter for this authenticator? The rest of assigned roles should not appear in the user session. <br></div><div><br>Thank you in advance<br>Valerij Timofeev<br>Software Engineer<br>Trusted Shops GmbH<br></div><div><br>P.S. &quot;Password-free&quot; logins seem to become a trend: Yahoo Mail gets a redesign, goes “password-free” <a href="http://www.siliconbeat.com/2015/10/15/yahoo/">http://www.siliconbeat.com/2015/10/15/yahoo/</a><br><br><br></div><br></div></div></div><div><div><div><div><br><br><div><div><div><div><br><div><div><div><div><br></div></div></div></div></div></div></div></div></div></div></div></div></div>