登録後にユーザーを自動的にログインしても安全ですか?
ユーザーが登録フォームに入力すると、いくつかの情報メッセージがメールボックスに送信され、次のようになります。
- ユーザーがログイン ページにリダイレクトされ、資格情報の入力を求められました。
また
- ユーザーは新しく作成したユーザーとして自動ログインしますか?
自動ログインで何か安全性が低いと感じていますが、それを理解できません!
質問する
9252 次
3 に答える
8
相手がログイン情報を入力しただけで、メール アドレスが正当であることを確認する必要がない場合は、直接ログインするだけで問題はありません。
ただし、偽のアカウント (少なくとも正当な電子メール アドレスを持たないもの) を作成する人々/ボットに自分自身を開放します。それが心配な場合 (これが公開アプリやイントラネットであるかどうかわからない場合など) は、少なくとも、GUID または追跡できる識別子を含むリンクを送信して、電子メール アドレスを確認する必要があります。その後、確認されたらログインさせることができます。
また、それを StackExchange/Facebook/OpenID/etc アカウントに関連付けるだけで、ユーザーにさらに別のフォームに記入させたり、そのすべての情報を維持することを心配させたりする必要がなくなります。
于 2012-09-28T20:00:11.360 に答える
3
ログインする必要があります。また、確認メールにはパスワードを含めないでください。彼らがあなたに間違ったメールアドレスを与えてしまい、あなたが自動的にログインした場合、他の誰かが彼らのアカウントにアクセスできます. これは、メール アドレスを 2 回入力しても問題ありません。2回続けて同じミスをする人もいます。
于 2012-09-28T19:57:20.733 に答える
3
ユーザーが確認ステップで正しいユーザーとしてアクティブなセッションをすでに持っている場合は、自動ログインしても安全です。考えてみれば、それは実際には「自動的にログインする」ということではなく、以前のようにログインしたままにしておくということです。
- ユーザー登録
- ユーザーを識別するセッションを維持する
- ユーザーが確認ページに移動します (メールにリンクされています)
- あなたはアカウントを有効にします
その間ずっと、セッションを終了する理由はありませんでした。セッションを終了したい (または最初からセッションを作成したくない) 唯一の理由は、未登録のユーザーよりも高い権限を与えずに誰かがログイン/セッションを作成できるように権限が適切に設定されていない場合です。
ここで、この人物がユーザー X の確認ページに移動したという理由だけで、ユーザーを X として自動的に識別しないように注意してください。ユーザーがこのページに移動したが、まだセッションを開いていない場合は、パスワードを知っていると想定しないでください。
于 2012-09-28T19:59:27.173 に答える