Лучший безопасный способ для входа по ссылке в Emai
Теперь у меня есть задача сделать ссылку для входа в систему по электронной почте. Я смотрел, как это делают другие сайты, и обычно они используют хэш для автоматического входа на сайт.
На нашем сайте есть номер заказа и пин-код, который мы используем для входа в систему для управления личным счетом.
Мой вопрос: есть ли какая-то надежная причина для того, чтобы не использовать номер заказа и не указывать сумматоры ссылок в электронной почте для входа в систему?
Решение
Вообще говоря, наличие автоматического входа в систему электронной почты редко является хорошей идеей. Тем не менее, если вам это действительно нужно, вы должны убедиться, что
а) ссылка может быть использована только один раз (несколько раз) И
б) ссылка может быть использована только в течение ограниченного периода времени
Неважно, используете ли вы хэш или простой текст, касающиеся функции автоматического входа — если кто-то посередине получает вашу почту, он может войти в систему. Что вы хотите хешировать? Номер заказа и пин-код? Вы сохраните хэш на стороне сервера, чтобы пин-код и номер заказа не были видны непосредственно в почте? Я бы предпочел зашифровать с помощью соли и добавить соль к зашифрованной ссылке в почте.
Другие решения
Других решений пока нет …