大幅简化了在线确认邮箱地址的流程。 你无需点击收件箱中的验证链接,也不必输入发送至邮箱的验证码 。这一新协议允许浏览器在你保持网站登录状态的同时直接处理验证流程。你的邮箱服务商将通过已有的登录凭证确认你是该邮箱的合法所有者,随后向网站返回一个安全令牌。
在当下的互联网世界中,“邮箱验证”几乎无处不在。注册账号、找回密码、绑定登录方式……我们已经习惯了“收验证码 → 回填”的流程,但这个流程既繁琐也不安全:
- 用户体验差:手动跳转邮箱、复制粘贴验证码
- 安全性有限:验证码可能被钓鱼邮件、劫持短信等方式攻击
- 隐私泄露:网站掌握用户邮箱地址、能无限次给你发邮件
为了改变这种“陈旧的邮箱验证方式”,WICG(Web Incubator Community Group)提出了一个新草案:Email Verification Protocol。
它试图用 浏览器 + 邮箱服务商 + 加密证明 的方式,让网站在不读取邮箱、不触及隐私的前提下验证“这个邮箱是不是你的”。
一、这个协议想解决什么问题?
传统的邮箱验证方式有明显缺点:
1. 用户体验差
去邮箱收验证码 → 回到页面输入。
一个操作拆成三步,中间还可能卡住。
2. 安全隐患
验证码本质上是“可以截获的秘密”。
攻击者若能提前读到邮件,就能冒充你完成验证。
3. 隐私暴露
网站能看到你的邮箱地址,并能随意向你发邮件。
4. 缺乏标准化
目前的邮箱验证完全靠业务层,不属于 Web 标准,
体验与安全性都无法被浏览器统一改进。
二、WICG 的目标:
用 Web 标准,让邮箱验证变成自动、安全、隐私友好的过程
协议设计的基本理念可以总结为两句话:
- 邮箱归属验证应由系统完成,而不是靠邮件验证码。
- 网站只需要“证明”,而不需要看到邮箱的内容。
换句话说,
未来的网站可能再也不需要给你发验证邮件了。
三、协议是怎么工作的?(大白话版)
整个流程可以理解为“三方对话”:
网站 ↔ 浏览器 ↔ 邮箱服务商(如 Gmail、Outlook)
下面是一个典型流程:
① 用户在网站填写邮箱地址
② 网站向浏览器提出“验证请求”
浏览器负责与邮箱服务商通信。
③ 浏览器询问邮箱服务商:“这邮箱属于当前用户吗?”
邮箱服务商检查当前已登录用户状态。
若该邮箱确实属于当前登录的用户,则:
④ 邮箱服务商生成一个加密证明(token)
内容包括:
- 邮箱确实属于此用户
- 签名保证不可伪造
- 不包含邮箱内容、邮件数据等隐私信息
⑤ 浏览器将 token 返回给网站
网站可以验证签名,从而确认邮箱归属。
整个过程无需验证码,也不会暴露邮箱密码或邮件内容。
用户的体验就变成了类似“网页自动验证手机号”的感觉:
无跳转、无验证码、无信息泄露。
四、协议的技术特性亮点
1. 隐私保护
网站无法读取邮件,也不会获得你的真实邮箱登录状态。
网站只拿到一种“一次性、签名的证明”。
2. 安全性更高
- 无验证码 → 无法被钓鱼
- 加密签名 → 网站无法伪造验证
- 浏览器参与 → Web 平台统一管控安全风险
3. 强体验
自动验证,不需要离开当前页面。
4. 标准化能力强
如果被 Chrome / Firefox / Safari 支持,这将成为 Web 的基础能力之一,像 WebAuthn 一样普及。
五、它与验证码的核心区别?
| 项目 | 传统验证码 | Email Verification Protocol |
|---|---|---|
| 验证介质 | 邮件内容(可被截获) | 加密签名证明 |
| 隐私 | 网站能看到你的邮箱地址和邮件 | 网站无法看到邮件 |
| 用户体验 | 跳转邮箱 → 复制验证码 → 回填 | 浏览器自动完成验证 |
| 统一性 | 完全靠每个网站自己实现 | Web 标准级能力 |
| 安全性 | 容易被钓鱼 | 更强加密、不可伪造 |
本质上:
验证码是“你告诉网站你收到了邮件”。
新协议是“邮箱服务商告诉网站你就是邮箱主人”。
六、项目目前的进展与生态
GitHub 上的 repo 属于 WICG 草案阶段。
特征如下:
- 正在讨论威胁模型、安全边界
- 尚未成为 W3C 正式标准
- 浏览器厂商、邮箱厂商正在参与评审
- 未来可能纳入 HTML / Web API 标准体系
如果未来 Gmail、Outlook 加入,并且 Chrome、Firefox 支持,那么它的普及速度会非常快。
七、总结
WICG 的 Email Verification Protocol 是一种尝试以 Web 标准重新定义邮箱验证方式的草案:
- 自动验证,无需验证码
- 不暴露邮箱内容
- 更安全、更隐私
- 浏览器 + 邮箱服务商协同完成
- 有潜力成为新的 Web 基础能力
Github:https://github.com/WICG/email-verification-protocol
Web Incubator Community Group · W3C 官方站:https://www.w3.org/community/wicg/
油管:https://youtu.be/Jsr_eNGe-LM
