autorisation asp.net en utilisant l'URL

Question

Cette question a probablement été posée auparavant, mais il semble que je ne puisse pas énoncer ma recherche assez correctement pour trouver la réponse.

Normalement, lorsque vous vous inscrivez pour accéder à un forum sur Internet, un e-mail d'autorisation vous est envoyé et vous pouvez cliquer sur un lien vous conduisant à une page exécutant l'autorisation.

Ce que je veux, c'est envoyer un courrier électronique à un utilisateur déjà créé (non connecté), et lui permettre d'accepter une proposition en cliquant sur un lien du courrier. Le lien ofcourse pointe vers une page qui effectue les opérations de base de données et affiche une sorte de résultat.

Quelles techniques et / ou voie dois-je prendre pour mettre cela en œuvre? Et puisque ceci est lié à la sécurité, à quoi dois-je faire attention?

Cordialement, Casper

Answer 1

Lorsque vous envoyez un e-mail, générez une grande chaîne aléatoire et stockez-la dans une table avec son ID utilisateur et une indication de ce que le lien va faire.

Envoyez-leur ensuite l'email contenant un lien vers DoSomething.aspx? id = long_string_here .

Ecrivez DoSomething.aspx pour qu'il lise la longue chaîne et présente à l'utilisateur une confirmation de ce qu'il va faire et un bouton pour le faire. Aucune connexion requise. Vous pouvez même laisser l'utilisateur connecté, si vous le souhaitez.

Une fois l'action terminée ou tous les X jours, supprimez la chaîne de la table.

Préoccupations:

1. Les mauvaises personnes peuvent essayer de frapper votre page avec des chaînes aléatoires. Si vos chaînes sont suffisamment longues et aléatoires, ce n'est pas grave, mais vous pouvez limiter l'accès à la page ou empêcher plus de X demandes d'une adresse IP sur une période donnée.
2. Les vérificateurs de spam agressifs peuvent suivre le lien figurant dans le corps du message. Assurez-vous qu'aucune opération n'est effectuée en accédant simplement à la page. l'utilisateur doit cliquer sur un bouton ou provoquer un POST.