通过发送带有 token 码的链接，让用户收取邮件点击链接进行登录网站，不用密码，这样是否安全？ 或者通过手机短信。当然， token 应该在点击或一段时间后失效。

长度够长就没问题，生成算法别太简单。
ban掉不停穷举的ip。因为这个一个ip不可能短时间内有很多请求。

看什么类型的社区了，无论怎么说，门槛太高了
邮箱 = 麻烦
手机 = 隐私

这种只适合一次性的认真，似乎你是想让用户就访问一个地址而不输入密码，当做所谓的秘密入口？这就不安全了，明文发送密码就不安全了，你这样连流浏览器历史都能搞得到的秘密…

为了方便，可以第三方oauth，qq一扫就好，现在论坛都支持啊，你去看看。

还是考虑一下有的时候信号不好收不到短信或者短信网关抽筋导致的延时吧

某些邮箱会自动请求邮件中的链接
你准备如何解决这种？

@loading token 打算用 uuid

@heat 嗯，大多数网民连 email 是什么都不知道

@loading 这个本来就相当于第三方登录，只是第三方变成邮箱/手机

@aaaa007cn 这确实是个问题

所以，还是通过第三方登录比较方便。

那你的链接是get 随便一个地方就能看到了

@kslr 这个没问题，可以在访问登录页面时预设一个 cookie 做匹配.