0

最初に実装しているシステムにアクセスできないユーザーのサブセットがありますが、プロセスの特定の部分のデータをキャプチャするメカニズムが必要です。

許可されたユーザーは、名前、姓などのいくつかの基本的な詳細を使用して、個人の元のレコードを作成します。

次に、一意の GUID を持つ「DataRequest」レコードを作成し、外部ユーザーに効果的なパスを含む電子メールを送信します。http://sampleapplication/Person/Complete?guid=xxxx

外部ユーザーは、生年月日、目の色などの詳細を追加し、DB に送信して保存します。その後、その GUID の DataRequest は期限切れになり、再度アクセスできなくなります。

これらの外部ユーザーはユーザー アカウントを持っていないため、完了アクションには権限がありません。

私の好みは、これらのユーザーにシステムを強制的に使用させることですが、現段階ではそれが実用的かどうかはわかりません。

これは悪い習慣ですか?電子メールに含まれるワンタイム パスワードやパスコードなど、追加のセキュリティを実装する必要がありますか? 検討すべき代替アプローチはありますか?

4

1 に答える 1

0

サイトのセクションを一般に公開することに問題はありません。多くの Web サイトには、保護されたセクションと保護されていないセクションがあります。ただし、安全なサイトを公開しなければならないということもありません。それらのレコードにアクセスするだけの別のサイトを作成し、そのサイトだけを公開することができます。

ユーザーの情報を保護する限り、電子メールによるパスコードは、精神的能力が限られているか、深刻な睡眠不足を抱えているどこかの開発者の発明です。リンクが電子メールでしか利用できない場合 (検索エンジンで発見できず、簡単に推測できない場合)、リンクを知っている人は誰でもパスコードを持っているため、リンクにアクセスするためのパスコードが不要になります。

ただし、電子メールが記録を終了するために使用された場合はログに記録し、それ以降の使用を禁止する必要があります。

于 2013-06-19T16:56:51.587 に答える