V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yjsslab
V2EX  ›  问与答

通过发送带有 token 码的链接,让用户收取邮件点击链接进行登录网站,不用密码,这样是否安全? 或者通过手机短信。当然, token 应该在点击或一段时间后失效。

  •  
  •   yjsslab · 2015-04-08 22:04:05 +08:00 · 3792 次点击
    这是一个创建于 3518 天前的主题,其中的信息可能已经有所发展或是发生改变。
    感觉不太安全。但用于类似论坛这类网站应该还行吧?
    9 条回复    2015-04-09 01:11:52 +08:00
    loading
        1
    loading  
       2015-04-08 22:10:24 +08:00 via iPhone
    长度够长就没问题,生成算法别太简单。
    ban掉不停穷举的ip。因为这个一个ip不可能短时间内有很多请求。
    heat
        2
    heat  
       2015-04-08 22:11:19 +08:00
    看什么类型的社区了,无论怎么说,门槛太高了
    邮箱 = 麻烦
    手机 = 隐私
    loading
        3
    loading  
       2015-04-08 22:13:12 +08:00 via iPhone
    这种只适合一次性的认真,似乎你是想让用户就访问一个地址而不输入密码,当做所谓的秘密入口?这就不安全了,明文发送密码就不安全了,你这样连流浏览器历史都能搞得到的秘密…
    loading
        4
    loading  
       2015-04-08 22:14:19 +08:00 via iPhone
    为了方便,可以第三方oauth,qq一扫就好,现在论坛都支持啊,你去看看。
    lshero
        5
    lshero  
       2015-04-08 23:07:47 +08:00
    还是考虑一下有的时候信号不好收不到短信或者短信网关抽筋导致的延时吧
    aaaa007cn
        6
    aaaa007cn  
       2015-04-08 23:33:06 +08:00
    某些邮箱会自动请求邮件中的链接
    你准备如何解决这种?
    yjsslab
        7
    yjsslab  
    OP
       2015-04-08 23:47:36 +08:00
    @loading token 打算用 uuid

    @heat 嗯,大多数网民连 email 是什么都不知道

    @loading 这个本来就相当于第三方登录,只是第三方变成邮箱/手机

    @aaaa007cn 这确实是个问题

    所以,还是通过第三方登录比较方便。
    kslr
        8
    kslr  
       2015-04-09 00:40:51 +08:00 via Android
    那你的链接是get 随便一个地方就能看到了
    yjsslab
        9
    yjsslab  
    OP
       2015-04-09 01:11:52 +08:00
    @kslr 这个没问题,可以在访问登录页面时预设一个 cookie 做匹配.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6040 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 06:18 · PVG 14:18 · LAX 22:18 · JFK 01:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.