我有一项业务要求,要求最终用户能够使用一次性密码登录电子商务系统,购买课程,然后再也无法登录。目前,允许其员工(我的客户的学生)的公司将为他们生成密码并向我发送他们生成的密码列表。
我不喜欢这个概念,但我还没有想出一个适合所有各方的更好的概念。如果在购买过程中出现问题,他们必须返回公司获取新的登录凭据。
购买课程的能力不能向公众开放,必须通过电子商务门户网站,目前只有一家公司参与,但将来会有更多。我认为这是一场彻底的维护噩梦。
我的问题是,如果你不介意分享告诉我你是如何解决它的,或者指出一个能给我一些见解的方向。我已经将这个概念用谷歌搜索到了死亡,并没有提出任何明智的想法。
答案 0 :(得分:1)
您无法自行解决“购买时出现问题”问题 - 他们需要修改服务,以便在交易完成时销毁密码。
无论您对密码做什么,一旦用户登录,密码将在其服务器上禁用。在那之后,你无法控制。
他们应该:
答案 1 :(得分:0)
我有这个问题的答案,并在这里记录我的个人OCD完成目的。我创建了一个允许两部分密钥的登录表单;用户名基于公司名称加上内部公司ID(不是guid),与密码密码相关联,例如:@ SCD6-,以及公司生成的员工ID。问题是我不知道员工ID是什么,只使用它,因为它应该是唯一的,尽管如果不是这样,一旦用户登录一次完成唯一的边缘安全过程然后检查出来登录无效,永远不能再次使用,除非手动解锁(如果将来某个时候发生重复的employeeID,这是不太可能的)。用户名和密钥通过电子邮件发送给目标公司的员工,该员工由目标公司生成。如果系统中的employeeID为50/50,那么我可以预先填写表格。
这个锁唯一保护的是一个过程,而不是安全的信息,所以我不太担心安全问题,唯一真正的目的是让John Q不要磕磕绊绊,付钱给我的客户需要退款后来。如果它是一个安全的数据流程,我就不会使用这种方法。