如何验证给定的域归用户所有？

我正在写一个将主要由公司使用的软件。

然后，我想到了给公司一种注册其电子邮件域的方法的方法，这样，使用该给定域的电子邮件进行注册的每个用户都将自动进入公司组。

我知道Slack会执行类似的操作并且可以工作，但是存在一些问题……例如，我刚刚注册了“ live.it”（Microsoft的live.com意大利语版本）。

我不能仅仅假设，如果用户已经验证了具有特定域的电子邮件，那么将具有相同domain_mail的每个用户放在同一组中是安全的。

例如，如果我向me@gmail.com注册，则不想让用户注册“ gmail.com”有其自己的域。

我想避免使用“在域的根中放入html文件”或“设置TXT记录”之类的方法，因此我想知道应该怎么做。

根目录中的文件

不要放弃将文件放在公司网站的根目录中的可能性。它运作良好并得到广泛使用：Google网站管理员工具就是这种技术的一个例子。这使这种方法具有吸引力：由于大多数用户已经知道它，所以他们不会迷路。而且，与修改MX记录不同（大多数小公司甚至都不知道MX记录是什么），它不需要任何技术知识。

为了避免污染根目录，应仅在进行检查时要求放置文件。找到文件后，用户便可以将其删除。

请注意，没有任何公司网站的用户将无法访问您的服务，但在这种情况下，我认为不会有太多客户。

注意：

• 您应该同时检查http://example.com/file和http://www.example.com/file，因为某些网站的配置方式不支持http://example.com/形式。

• 考虑到我认为没有很多公司没有从HTTP重定向到HTTPS的可能，您也可能支持HTTPS。

• 您不应该接受任何其他第三级域名，例如http://mysite.example.com/，因为这会使购买第三级域名的人声称自己是第二级域名的所有者。example.com。

发送邮件

发送带有秘密链接的电子邮件非常麻烦。您不能对firstname.lastname@example.com进行操作，因为给定的人可能没有公司的电子邮件地址（通常是初创公司的情况，人们更喜欢使用其个人地址）。

在某些情况下，无法使用诸如admin@example.com之类的电子邮件。

• 首先，总是有一些公司没有postmaster @ example.com，admin @ example.com等，但是您没有将其特定的“系统”电子邮件地址列入白名单。特别考虑外国公司；例如，在法国，通常使用“ Administrat eu r”而不是“ Administrator”，包括电子邮件地址和帐户名。

• 其次，许多小公司无法访问，也不知道如何访问其系统电子邮件。他们甚至不知道自己有滥用@ example.com，并收到数百封紧急电子邮件，等待他们的回复。

  出于相同的原因，您不能基于电子邮件地址的WHOIS记录。

问题实际上是：“ 拥有电子邮件域意味着什么？”。

拥有网站的定义是将文件放在根目录中的能力。普通用户也许可以在文件上放文件，http://example.com/~user42/validation.txt但不能放http://example.com/validation.txt。

对于电子邮件，没有这样的层次结构。但是，该postmaster地址是特殊的。（根据RFC2142保留），您将无法创建postmaster@gmail.com。因此，创建和/或访问的能力postmaster@是电子邮件域所有权所需的证明。

在您的评论中看到您可能不喜欢使用网站根目录文件方法，一种可行的替代方法是：

使用WHOIS验证所有权

您将需要获取所请求的域（例如stackexchange.com），以及该域的WHOIS输出中列出的电子邮件之一。（请注意，这不适用于秘密/私人注册，但是如果您的受众是公司，则通常不是问题）

例如：

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

您甚至可以whois交互方式进行查找，并提供有效电子邮件的下拉列表（在本例中为sysadmin-team@stackoverflow.com）。然后，您将发送验证码/链接到所选电子邮件。

要求您的用户添加一个TXT记录到他们的域中，并参考他们在您网站上的用户帐户（他们的用户名，ID或要求用户验证其域时生成的任意令牌）。

我记得adn_verification=<my user name>在社交网络上添加了一条称为记录的记录，以显示经过验证的我的域，而且我认为这很整洁，不需要您将域指向Web服务器。

要添加到页面上已经存在的建议中：我建议给用户有关他如何验证其域的选项。该页面上的其他建议都可以很好地使用，但是有时您会遇到只想验证其域的人只能访问其服务器甚至网站的情况。例如，您的用户可能无法在域根目录中添加域记录或文件。

例如，特洛伊·亨特（Troy Hunt）允许用户在其受感染帐户的数据库中搜索整个域，但是您需要首先进行验证。他为用户提供了4种方法的选择：

1. 通过电子邮件;
2. 通过元标记；
3. 文件上传；
4. TXT记录。

在所有这四种情况下，他都要求用户在其进行验证的地方输入特定值。

解释位于http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html。

您能避免使用免费的网络邮件进行注册吗？

那什么的Brium没有：你不能用一个签到@gmail.com，@live.com等电子邮件-你必须使用你自己的。

并以此集群您。

如果您以企业为目标，那应该是一个好方法。

您仍然可能会遇到一个问题，即知道老板是谁（例如，该组的管理员），但这可能并不那么重要-老板可能应该具有告诉任何员工将所有权转让给他的工具，前提是有人在老板面前注册。