V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
love
V2EX  ›  奇思妙想

这样的无密码登录方案有什么硬伤不?

  •  
  •   love · 2013-12-26 14:48:45 +08:00 · 4070 次点击
    这是一个创建于 3987 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用户登录/注册时,只需输入一个邮箱,然后发登录链接到邮箱,点击登录(如果还没有注册过就用这个邮箱创建用户),然后设置cookie为永久。

    我是想用这样子偷点懒,毕竟做足全套太麻烦,而且主要的登录手段是社交网站登录,这个方式是后备方式。
    16 条回复    1970-01-01 08:00:00 +08:00
    letitbesqzr
        1
    letitbesqzr  
       2013-12-26 14:51:34 +08:00
    登陆邮箱还要输入密码.还不如直接输入密码方便.
    dorentus
        2
    dorentus  
       2013-12-26 14:52:40 +08:00
    登录链接是只能用一次还是一直可以用?如果一直可用的话,限不限制来源 IP?
    登录 cookie 因为某种原因丢失了呢?

    ----------------------
    作为后备方式的话,倒是问题也不大。
    为了安全,建议:
    1) 登录链接只能用一次
    2) 用户可以随时请求一个新的登录链接发到邮箱
    niseter
        3
    niseter  
       2013-12-26 14:54:54 +08:00   ❤️ 1
    你搞这个关键还是cookie有效期怎么控制,还有小心XSS
    clww
        4
    clww  
       2013-12-26 14:55:30 +08:00
    love
        5
    love  
    OP
       2013-12-26 15:01:23 +08:00
    @letitbesqzr 一般人主用的登录邮箱不用密码了吧,都是记住登录了。

    @dorentus 当然只能用一次,登录cookie没有了可以再登录,发链接到同一邮箱,还是进原来的帐号,数据不会没有(因为帐号是用目标邮箱创建的)。

    @niseter XSS不是和别的登录方案一样的,cookie有效期永久,毕竟基本上都是在自已电脑上操作,当然也有一个退出连接可以删除cookie。
    Shieffan
        6
    Shieffan  
       2013-12-26 15:20:20 +08:00
    安全性上应该没多大问题,但是便利性值得商榷,如果还要支持移动设备,那就更蛋碎了。

    还有就是要考虑下你的邮件送达率,以及如何防spamer,给我的感觉就是这种登录方式很脆弱。不过如果你面对的比较小的用户群体,那应该没啥问题。
    love
        7
    love  
    OP
       2013-12-26 15:30:41 +08:00
    @Shieffan
    脆弱应该不至于,因为现在很多网站注册的时候也是要去邮箱收一个验证连接才能用的,没有本质上的不同,spamer也是一样的,同样是限制ip操作的频率。

    因为cookie是永久的,每个设备只需做一次,便利性上应该不是问题。
    而且有必要的话还可以在网站设置里加一个密码输入框,如果设置的话可以用这个密码登录。
    Hyperion
        8
    Hyperion  
       2013-12-26 15:44:45 +08:00
    邮箱登陆, 并不是每个邮箱都是这么方便的, 如果遇到不怎么使用邮箱的人, 反而更糟糕. 安全性和稳定性, 完全是依赖邮件服务商的良心和用户的一些相关习惯.

    密码, 只要大脑能正常工作就可以完成认证呐...
    Ever
        9
    Ever  
       2013-12-26 15:47:19 +08:00
    用户稍多,发信地址早晚进各家邮局黑名单。
    Shieffan
        10
    Shieffan  
       2013-12-26 15:53:31 +08:00
    @love 我们公司用的sendgrid的邮件服务,邮件送达率也只是在90%徘徊。

    如果再碰到蛋疼点的邮件服务商,那就更让人捉急了。像QQ这种检测你发送阀值的,动不动就给你block了。
    Shieffan
        11
    Shieffan  
       2013-12-26 15:55:31 +08:00
    不过按你说的“而且主要的登录手段是社交网站登录”,我觉得你的登录方案应该可以应付你的需求。
    bingu
        12
    bingu  
       2013-12-26 17:46:27 +08:00
    deepure
        13
    deepure  
       2013-12-26 18:47:37 +08:00 via iPad
    @love 你这个一般人主邮箱都记住密码了,太自主加妄断了
    wwwjfy
        14
    wwwjfy  
       2013-12-26 18:58:42 +08:00
    The Magazine就是这么做的..
    https://the-magazine.org/login
    newborn
        15
    newborn  
       2013-12-27 14:24:59 +08:00
    @niseter 只要加上httponly就不怕xss了。
    dimpurr
        16
    dimpurr  
       2013-12-28 10:52:18 +08:00 via Android
    主要看受众群体,有些人查个邮件比注册还麻烦。移动端也是。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3130 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:57 · PVG 21:57 · LAX 05:57 · JFK 08:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.