我正在制作一个 Twilio 应用程序。Twilio 可以在通话结束后向服务器发送请求,但它无法与我网站的登录用户关联,因为 Twilio 正在发出独立请求。如果我要告诉 Twilio 在
example.com/response.html?token=ba38pgab38g4agdusoehle8qihxs&data=somedata
然后使用此令牌作为验证此 Twilio 请求是否与用户相关联的一种方式,这是否安全?
我以前在密码重置表单上看到过这种技术。一封电子邮件将包含一个链接,并且仅使用令牌确认用户的身份。
在我的 Twilio 应用程序中执行此操作是否安全?有什么注意事项吗?
它与从远程 HTTP 客户端(如浏览器)向您的服务器发出的任何其他请求一样安全。如果您想确保 Twilio 的服务器和您的服务器之间没有人可以读取请求,您应该使用 HTTPS/SSL。
对于这个用例,最好将随每个请求发送到服务器的 CallSid 值与系统中的用户相关联。当已完成呼叫的 StatusCallback 触发时,查找与该呼叫关联的用户并采取相应措施。
一些基于浏览器的单点登录协议(如 OpenID 和 SAML)在您尝试验证的站点和进行验证的站点之间重定向时使用类似的技术来跟踪状态。我认为该技术足以满足您想要实现的目标。
我不熟悉 Twilio,但我会小心使用来识别用户。为每个请求生成一个唯一的代码(又名 nonce)并让 Twilio 在响应中将该 nonce 传递回会更安全,因为它只标识一个特定的请求。 不过,这可能有点矫枉过正。