У меня есть простое веб-приложение, в котором администраторы могут создавать пользователей. Пользователи не создают себя. Все, что нужно сделать администратору - это ввести имя пользователя и адрес электронной почты, и пользователю будет отправлен временный пароль для входа в систему. Это электронное письмо отправляется в текстовом формате. Если пользователь регистрируется в первый раз, они должны изменить свой пароль и ввести секретный вопрос и ответ. Пользователь, очевидно, должен знать свой временный пароль для входа в систему в первый раз, и это единственный способ сообщить им (через электронную почту). Другой вариант заключается в том, чтобы администратор вызывал пользователя и рассказывал им по телефону или лично своему временному паролю, но это нецелесообразно. Как я могу справиться с такой ситуацией?Защита временных паролей, отправленных по электронной почте пользователям?
ответ
Обычно я использую временный url на основе записи приглашения на заднем конце. По существу, вы создаете запись приглашения и генерируете хэш на основе некоторой информации, возможно, адреса электронной почты пользователей, временной метки и случайного значения. Сохраните хэш как часть записи приглашения, а затем отправьте им URL-адрес с хешем в качестве параметра.
Когда они нажимают на поиск ссылок, приглашаем и проверяем, что он существует и не использовался, - затем разрешите им установить свой пароль и аннулировать приглашение.
Он избавляется от необходимости отправлять какой-либо пароль, и вы также можете установить истечение срока действия в ваших пригласительных записях, если хотите.
Что вы подразумеваете под приглашением записи? – Xaisoft
В записи приглашения я имею в виду запись базы данных, которая записывала бы хеш приглашения, адрес электронной почты пользователя и временные метки и/или информацию об истечении срока действия для приглашения – paulthenerd
Сценарий, который вы описываете, очень распространен: отправка временного пароля и его изменение при первом входе в систему. Если у вас нет конкретной проблемы с этой моделью, я не вижу причин не использовать ее. У пользователей административного вызова может возникнуть сложность - я бы избегал этого любой ценой.
Да, вызов администратора, вероятно, разозлит администратора, если вы сказали им, что они должны это сделать. Мне было просто интересно, есть ли какие-либо способы добавить дополнительный уровень безопасности, поэтому я могу быть немного увереннее, что это тот человек, которого я отправил по электронной почте временному паролю, который фактически меняет пароль. – Xaisoft
Вы можете создать собственный URL-адрес с паролем и пользовательским хэшем в качестве аргумента, в котором пользователь должен сам регистрироваться. Хеш будет трудно получить, если у злоумышленника нет информации
- 1. Позволяя пользователям определить отправителя по электронной почте
- 2. Когда отправляет письма по электронной почте пользователям?
- 3. уведомление по электронной почте нескольким пользователям
- 4. Приложение для Android открывается из ссылок, отправленных по электронной почте
- 5. Удаление метаданных из Gmail, отправленных по электронной почте
- 6. неизвестный отправитель в отправленных письмах по электронной почте php
- 7. Уведомление по электронной почте
- 8. защита паролей в python
- 9. .htaccess защита паролей сломана
- 10. Разрешить пользователям загружать файлы на сервер по электронной почте?
- 11. Как разрешить пользователям отправлять вопросы по электронной почте MantisBT?
- 12. Как Дженкинс отправляет уведомления по электронной почте пользователям Subversion?
- 13. Отправка предложений пользователям по электронной почте с помощью cron
- 14. Отправлять письмо по электронной почте пользователям, сохраненным в базе данных
- 15. Отправка по электронной почте нескольким пользователям с помощью ActionMailer
- 16. Отправить по электронной почте нескольким пользователям через Отправить Grid APis
- 17. Отправлять подтверждение по электронной почте пользователям после отправки формы
- 18. регистрация django - позволяет нескольким пользователям по электронной почте id
- 19. Защита системы входа без паролей
- 20. год не по электронной почте
- 21. Схват имени из данных, отправленных по почте
- 22. Поведение по электронной почте по электронной почте Firebase
- 23. Защита паролей в коде
- 24. Защита паролей защиты данных
- 25. Защита паролем паролей Windows?
- 26. Получение электронной почты по электронной почте/электронной почте Facebook
- 27. Настройки уведомлений по электронной почте
- 28. Закладок по электронной почте
- 29. Войти по электронной почте
- 30. Отправить по электронной почте
Является ли это безопасным для вас e-mail? – JasonS