Correo electrónico y direcciones URL reutilizable Token
https://stackoverflow.com/questions/1685343
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy construyendo un sitio que ofrece funcionalidad para los usuarios sin que tengan que registrarse. La idea es enviar un correo electrónico a la dirección especificada contiene un enlace con un token. De esta manera el usuario podría este enlace en cualquier momento que desee realizar cambios en la funcionalidad.
Mientras me di cuenta de que no hay manera de asegurar un verdadero concepto, estoy buscando opciones para minimizar la visibilidad de la ficha. En su estado actual, pronto como el usuario hace clic en el enlace que se añade a su historial de navegación, a disposición de cualquier persona que tenga acceso a la computadora.
En la mayoría de los casos me gustaría venir más esto con una forma sencilla para que el testigo podría ser pasado a través de una petición POST, pero las formas no son muy apoyado en los correos electrónicos.
Así que la pregunta es, ¿alguien sabe de una manera alternativa para ocultar una ficha en un correo electrónico tales?
Solución
Estoy seguro de que has pensado en esto, pero se les podría enviar una contraseña y un enlace a una URL en la que necesitarían introducir esa contraseña. Si la URL enviada por correo electrónico contenía otra contraseña, sería un compromiso más pequeña a la seguridad de lo habitual para que la contraseña introducida por el usuario bastante corta, como un número PIN, por ejemplo.
Otros consejos
Se puede enviar un nuevo símbolo cada vez que el usuario quiere conectarse. Haga que plop en su dirección de correo electrónico y enviarlos un nuevo token, mientras que la creación fichas anteriores a 'expirado.' O bien, si el servidor detecta que se utilizó un viejo enlace / modo, se podría enviar automáticamente una nueva a la dirección de correo electrónico asociada y pedir al usuario comprobar su correo electrónico para un nuevo enlace.
Para ello sería necesario hacer el seguimiento de los viejos símbolos, vencidas y las direcciones de correo electrónico asociadas, pero aún así no requiere registro. - sólo que un usuario compruebe su correo electrónico cada vez que quieren entrar Usted sería esencialmente respaldo alcancía en su correo electrónico autenticación.
También sería contrario a la intuición para los usuarios.
Esto convertiría el token en un criptográfica nonce , que se utiliza principalmente para evitar la ataque de reproducción que usted ha mencionado.
Otra respuesta, tal vez más útil:
Algunos navegadores (como Chrome) no registran 301 "movido permanentemente" vuelve a dirigir en el historial del navegador. Firefox hace, pero no hay una propuesta para cambiar eso: https://wiki.mozilla.org/Browser_History:Redirects
Por ejemplo, en Chrome, si se desplaza directamente a
amazon.com
que va a seguir una redirección 301 a
www.amazon.com
Si a continuación, comprobar el historial del navegador, sólo se mostrará
www.amazon.com
Por lo tanto, si el servidor devuelve un redireccionamiento 301 desde el enlace de inicio de sesión, el servidor podría grabar el token, quitarlo de la redirección de enlace, y el navegador del usuario sólo registraría el enlace de redirección.
(esta es mi primera vez de responder en desbordamiento de pila - que me haga saber si mi escritura no es clara o si me falta otra etiqueta)
