我们有多个自定义要求，基本上要求我们使用自己的服务器和电子邮件API的用户身份验证。
我们正在尝试重新创建无密码身份验证流，并认为我们得到了它去。但我想验证，如果下面是准确的，特别是，如果这是安全的方式这样做。
1.在firebase中保持禁用电子邮件身份验证
1.将用户的电子邮件从应用程序客户端发送到自定义服务器
1.在createCustomToken中使用firebase admin sdk，其中uid是用户的电子邮件
1.向用户发送一封电子邮件，其中包含应用程序的链接，其中附加了自定义令牌（我们处理速率限制）
1.使用signInWithCustomToken在应用程序中验证此自定义令牌
我在这里错过了什么，特别是我需要注意的任何安全警告吗？