注册后自动登录用户是否安全?
用户填写注册表,一些信息消息发送到他的邮箱,然后:
- 用户重定向到登录页面,要求他提供凭据;
或者
- 用户自动登录为他新创建的用户?
我觉得自动登录不够安全,但想不通!
问问题
9252 次
3 回答
8
如果他们只是填写了登录信息并且您不担心确认电子邮件地址是合法的,那么直接登录应该没有问题。
但是,您向创建虚假帐户的人/机器人敞开心扉(至少那些没有合法电子邮件地址的人)。如果您对此感到担忧(不确定这是面向公众的应用程序或 Intranet 等),那么您至少应该通过发送带有 guid 或您可以追踪的某些标识符的链接来验证电子邮件地址。然后,您可以在他们确认后让他们登录。
您也可以将其绑定到他们的 StackExchange/Facebook/OpenID/etc 帐户,而不是让用户填写另一个表格并担心维护所有这些信息。
于 2012-09-28T20:00:11.360 回答
3
他们应该需要登录。此外,确认电子邮件不应包含他们的密码。如果他们设法给您提供了错误的电子邮件地址,而您自动将他们登录,那么其他人现在可以访问他们的帐户。即使您让他们两次键入他们的电子邮件地址,这仍然成立。有时人们会连续两次犯同样的错误。
于 2012-09-28T19:57:20.733 回答
3
如果用户在确认步骤中作为正确的用户已经有一个活动会话,则自动登录是安全的。如果您考虑一下,它实际上并不是“自动登录”,而只是让他们像以前一样登录。
- 用户注册
- 保持会话识别用户
- 用户导航到确认页面(在电子邮件中链接)
- 您激活帐户
在那段时间里,没有理由结束会议。您想要结束会话(或不首先创建会话)的唯一原因是您的权限未正确设置为允许某人登录/创建会话而不给予他们比未注册用户更高的权限。
现在,请确保不要仅仅因为此人导航到用户 X 的确认页面而自动将用户标识为 X。如果用户导航到此页面但尚未打开会话,请不要假设他知道密码。
于 2012-09-28T19:59:27.173 回答