SORU
30 HAZİRAN 2009, Salı


En iyi parola sıfırlama bağlantıları/kayıt/sonuç e-posta ile aktivasyon yöntemleri nelerdir

Uygulamalar e-posta kullanıcı hesaplarını doğrulamak veya bir parola sıfırlama gönder. Aşağıdaki olması gerektiği gibi olduğuna inanıyorum ve referanslar ve uygulamalar için soruyorum.

Eğer bir uygulama için bir bağlantı göndermek bir e-posta doğrulamak için kullanıcının adresi, benim görüşüme göre, bağlantı ve uygulama işleme bağlanmalıdır var aşağıdaki özellikleri:

  1. Bağlantı nonce istek URI (http://host/path?nonce) içerir.
  2. Linki takip (), kullanıcı bir formu, isteğe bağlı olarak sonuç ile sunulmaktadır.
  3. Kullanıcı giriş (POST) doğruluyor.
  4. Sunucu isteği alır ve
    • Çek giriş parametreleri,
    • değişim gerçekleştirir
    • ve sonuç geçersiz kılar.

Bu HTTP RFC on Safe and Idempotent Methods başına doğru olması gerekir.

Sorun bu işlem de gereksiz olarak faydasız değildir ve bir çok insan tarafından bir ek sayfa veya kullanıcı eylemi (Madde 3), içermesidir. Daha geniş teknik bir gruptan bu giriş için soruyorum sorunlarını arkadaşları ve müşteriler için bu yaklaşım sunmak vardı. Tek tartışma SONRASI adım atlama karşı tarayıcıdan bağlantı ön yükleme mümkün oldu.

  • İyi fikir açıklamak ve teknik olmayan bir kişi bile ikna edebilir bu konuda başvurular var (en iyi uygulamalardan dergiler, bloglar, ...)?
  • Bu yaklaşım, referans siteler (tercihen popüler ve birçok kullanıcı ile) var mı?
    • Belgelenen sebep veya eşdeğer alternatifler var?

Teşekkür ederim

< / ^ hr .

Ayrıntıyı atlamadan

Ana bölümü kısa tuttum, ama kasten terk ettim ... detayları çok fazla tartışma azaltmak için, bir kaç tahmin de ben ekleyeceğim:

  • E-posta içeriğinde bu tartışmanın bir parçası değil. Kullanıcı tıklama eylemi gerçekleştirmek için bağlantıyı bilir. Eğer kullanıcı tepki vermiyor yoksa önemli değil de bilinen, ne olacak.
  • Kullanıcı, ne de iletişim politikasının posta biz neden belirtmek zorunda değiliz. Biz kullanıcı e-posta almak için bekliyor varsayalım.
  • Sonuç son kullanma zaman damgası vardır ve doğrudan çiftleri azaltmak için alıcı e-posta adresi ile ilişkilendirilir.

< / ^ hr .

Notlar

Openıd gibi, normal web uygulamaları standart kullanıcı hesabı yönetimi (parola, e-posta ...) uygulamaktan, rahatladım, ama hala bazı müşteriler istiyorkendi kullanıcıları'

Gariptir ki ben burada tatmin edici soru ne de bir cevap bulamadım. Ne ben şimdiye kadar bulduk:

CEVAP
1 Temmuz 2009, ÇARŞAMBA


Bu soru Implementing secure, unique “single-use” activation URLs in ASP.NET (C#) çok benzer.

Benim cevabım orada düzeninizi yakın, birkaç sorunları geçerliliği, çift kayıt taşıma vb kısa dönem olarak dikkat çekti.
Bir kullanmanızşifrelemesonuç birçok atlamak eğilimindedir bu da önemlidir, örneğin "sadece kullanım sağlayan bir GUID"...

Bunu bir yeni nokta yükseltmek ve bu önemli burada, GET idempotency wrt.
Genel niyetiniz katılıyorum buna rağmen, net onun idempotency bir zaman çelişki içinde bu gibi bazı durumlarda bir zorunluluk olan bağlantıları.

Bu gerçekten GET idempotentness aykırı değil mi bu varsaymak isterdim, ama ne yazık ki öyle... öte yandan, RFC diyorGEREKİRidempotent, bir GEREKİR değil. Bu durumda vazgeçmek yani diyeceğim şu ki, ve bir kez otomatik olarak geçersiz bağlantılar sopa.

Eğergerçektentam RFC uyumluluğu için amacı olmayan idempotent girmek istemiyorum(?) Alır, Senin Olsun AL sayfasına otomatik gönderme SONRASI biraz boşluk etrafında parça parça RFC, ama okunaklı ve dont gerektirir kullanıcı için çift-içerme, ve sen değilsin rahatsız ediyor onu

Gerçekten önyükleme (CSRF veya tarayıcı optimize hakkında talkng misin?) hakkında endişelenmenize gerek yok... CSRF sonuç nedeniyle işe yaramaz, ve optimize genellikle önceden yüklenmiş sayfasında işlem javascript (otomatik göndermek için kullanılır) alışkanlık.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Evan Coury

    Evan Coury

    29 NİSAN 2007
  • finalcall07

    finalcall07

    11 NİSAN 2008
  • KittiesMama

    KittiesMama

    10 AĞUSTOS 2008