注册后自动登录用户是否安全?
用户填写注册表,一些信息邮件发送到他的邮箱,然后:
或
我觉得在自动登录时不够安全,但无法弄明白!
答案 0 :(得分:4)
如果他们刚刚填写了登录信息,而您并不担心确认电子邮件地址是合法的,那么直接登录就不会有问题。
但是,你打开自己的人/机器人创建虚假帐户(至少没有合法的电子邮件地址)。如果您对此感到担心(不确定这是面向公众的应用程序或内部网等),那么您至少应该通过发送带有guid的链接或可以追溯的某个标识符来验证电子邮件地址。然后,您可以在确认后让他们登录。
你也可以将它绑定到他们的StackExchange / Facebook / OpenID / etc帐户,而不是让用户填写另一种表格并担心维护所有这些信息。
答案 1 :(得分:1)
他们应该登录。此外,确认电子邮件应不包含其密码。如果他们设法给您错误的电子邮件地址并且您自动登录,则其他人现在可以访问他们的帐户。即使您让他们两次输入他们的电子邮件地址,这也成立。有时人们会连续两次犯同样的错误。
答案 2 :(得分:0)
如果用户在确认步骤中已将活动会话作为正确的用户,则可以安全地自动登录。如果您考虑一下,它实际上并不是“自动登录”,而只是让它们像以前一样登录。
在这段时间内,没有理由结束会议。您希望结束会话(或者不首先创建一个会话)的唯一原因是,如果您的权限未正确设置为允许某人登录/创建会话而不给予他们比未注册用户更高的权限。
现在,请确保不要仅仅因为此人导航到用户X的确认页面而自动将用户标识为X.如果用户导航到此页面但尚未打开会话,请不要认为他知道密码。