それは単にクッキーに対する古い恐怖 (一部の場所ではまだ) の産物ですか? また、送信メールからユーザー名を単純に渡すのが悪い習慣であるかどうかも知りたいです。
1 に答える
2
ユーザーに明示的な許可を求めることなく、特定のコンピューターで必要な限り、Web アプリが常にユーザーを記憶することを妨げるものは何もありません。ただし、これを行うと、共有コンピューターのセキュリティとプライバシーに影響します。
あなたがネットカフェや図書館に行って、共有のコンピュータに座って銀行のウェブサイトにログインしたと想像してみてください (いずれにせよ、そのような場所から行うべきではありません :-))。銀行の Web サイトは「スマート」になろうとしており、ユーザーの資格情報に基づいてチケットと共に Cookie を保持します。完了したら、ログオフせずにブラウザーを閉じます。次の人は座ってブラウザを開き、履歴を見て銀行のサイトに行きます。そして今、彼らはあなたのすべてのお金に魔法のようにアクセスできます.
その銀行を何かに使うのはおそらくこれが最後でしょう。
更新:質問の2番目の部分(および以下のコメント)に答えるには
URL インジェクションが心配な場合は、メールの URL 自体にユーザー名を指定しない方がよいでしょう。代わりに、ワンタイム トークンを生成します (たとえば、ユーザー名と Web サイト シークレットの一方向ハッシュを使用できます)。これは、外部サイトにとっては何の意味もありませんが、ユーザー ID を抽出して、ページのフィールドに事前入力します。
電子メールの URL に十分な情報を含めないでください。そのリンクをクリックすると、ユーザーがサイトに対して認証されます。それでもユーザーに身元を証明してもらいたい。
于 2010-03-03T18:46:57.490 に答える