1. дома
  2. Вопрос и ответ
  3. URL-адреса электронной почты и многократные URL-адреса Token

URL-адреса электронной почты и многократные URL-адреса Token

2009-11-06 5 views
0

Я создаю сайт, который предлагает функции пользователям без необходимости их регистрации. Идея состоит в том, чтобы отправить электронное письмо на указанный адрес, содержащий ссылку с токеном. Таким образом, пользователь мог бы это связывать в любое время, когда они захотят внести изменения в функциональность.URL-адреса электронной почты и многократные URL-адреса Token

Хотя я понимаю, что нет способа по-настоящему обеспечить такую ​​концепцию, я ищу варианты, чтобы минимизировать видимость токена. В текущем состоянии, как только пользователь нажимает на ссылку, она добавляется в историю своего браузера, доступную всем, кто имеет доступ к компьютеру.

В большинстве случаев я бы попросил простую форму, чтобы токен мог быть передан с помощью запроса POST, но формы в электронной почте не поддерживаются.

Итак, вопрос в том, знает ли кто-нибудь об альтернативном способе скрыть токен в таком электронном письме?

источник

2009-11-06 rayblasdel

ответ

0

Я уверен, что вы об этом подумали, но вы можете отправить им пароль и ссылку на URL-адрес, где им нужно будет ввести этот пароль. Если URL-адрес, указанный по электронной почте, содержит другой пароль, это будет меньшим компромиссом для безопасности, чем обычно, для того, чтобы сделать введенный пользователем пароль довольно коротким, например, с помощью PIN-кода.

источник

2009-11-06 04:18:45 Grumdrig

+0

Я считаю, что это, но надеялся избежать. Но, в конце концов, я считаю, что это лучшая лошадь для работы. Им просто придется иметь дело с вводом короткого контакта один раз на сайте. Благодарим за отзыв. – rayblasdel

0

Вы можете повторно отправить новый токен каждый раз, когда пользователь хочет войти. Попросите их зайти в свой адрес электронной почты и отправить им новый токен, установив предыдущие токены на «истек». Или, если сервер обнаруживает, что используется старая ссылка/токен, он может автоматически отправить новый на соответствующий адрес электронной почты и попросить пользователя проверить их электронную почту для новой ссылки.

Это потребует отслеживания старых, просроченных жетонов и связанных адресов электронной почты, но по-прежнему не требует регистрации - просто чтобы пользователь проверял почту каждый раз, когда они хотят войти в систему. аутентификация электронной почты.

Он также был бы интуитивно понятным для пользователей.

Это превратило бы токен в cryptographic nonce, который в основном используется для предотвращения упомянутой вами повторной атаки.

источник

2009-11-06 06:19:42

0

Другой ответ, может быть более полезным:

Некоторые браузеры (например, Chrome) не фиксируют 301 «Moved постоянно» перенаправляет в истории браузера. Firefox делает, но есть предложение изменить, что: https://wiki.mozilla.org/Browser_History:Redirects

Например, в Chrome, если вы переходите непосредственно к

amazon.com

будет следовать 301 редирект на

www.amazon.com

Если вы затем проверить историю браузера, он будет показывать только

www.amazon.com

Таким образом, если ваш сервер возвращает 301 переадресацию из ссылки для входа, сервер может записать токен, удалить его из ссылки перенаправления, а браузер пользователя будет записывать только ссылку перенаправления.

(это мой первый раз в ответ на переполнение стека - дайте мне знать, если мое письмо неясно, или если я пропускаю другой этикет)

источник

2009-11-06 06:39:21

+0

Мне нравится концепция, но, как и формы в электронной почте, это зависит от поведения непоследовательного браузера. – rayblasdel

Смежные вопросы

 Смежные вопросы