我当时正在考虑为我正在使用的扩展程序构建自动登录功能,单击电子邮件中的链接的客户将自动登录到他们的帐户。
这确实非常有用,特别是在发送给年长的客户时,因为他们需要输入忘记的密码才能登录并进行购买,因此变化很大。
但另一方面,它会带来一些我不太兴奋的漏洞。如果客户将电子邮件转发给他们的朋友,并且他们的朋友单击链接,则他们还将以他们的朋友身份登录。
当然,您可以尝试教育您的客户不要转发这些电子邮件,但这可能是艰巨的战斗。将营销电子邮件转发给朋友将允许他们未经授权登录您的帐户的想法并不是人们会很快习惯的。
有什么想法吗?
更新:刚刚注意到Quora从其评论通知电子邮件中进行了自动登录。
Answers:
我想我不推荐这样的功能...
但是无论如何,如果要构建此功能,请考虑以下几点:
使用基于令牌的登录名,例如http://shop.tld/?autologintoken = AABBCCDD
如果这只是第一次,则客户登录时将身份验证令牌限制为一次登录
使令牌对于每个客户都是唯一的,并且(非常重要)也不要基于用户名/密码/地址/名称/电子邮件/其他方式。Mage_Core_Helper_Data :: getRandomString可能会帮助您。我要说的最小长度是32。不要使用md5(time())之类的东西!
每次客户更改密码时都更改令牌
限制使用令牌登录的客户的帐户访问权限,例如,如果他们想更改为邮件地址或访问抄送号码,则让他们输入密码。这可能有助于提高安全性
不要(!!!)依赖浏览器,cookie,IP或其他东西