Полная Версия: Возможно ли авторизация с почты по ссылке
| Цитата (S.Chushkin @ 19.09.2015 - 16:40) |
| Масло масляное? |
С чего бы вдруг? Тут речь о чем идет: если просто использовать хэш в ссылке, которая отправляется через почту, то при перехвате этой ссылки любой человек сможет авторизоваться.
Использование же куки позволяет ограничить это только одним браузером - тем, откуда изначально был сделан запрос.
Да даже если без перехвата
Я вот отправил тебе ссылку, которую прислали мне - ты авторизовался за меня - это если без куки. А с кукой хренушки, не получится так. Только я со своего браузера смогу.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
А если я захочу пройти тест с другого устройства?
К примеру с телефона?
А куки установлены на компе
К примеру с телефона?
А куки установлены на компе
Авторизоваться на другом устройстве.
Так же, как здесь, на форуме.
_____________
Бесплатному сыру в дырки не заглядывают...
Так же, как здесь, на форуме.
_____________
Бесплатному сыру в дырки не заглядывают...
| Цитата |
| Авторизоваться на другом устройстве. |
А теперь все дружно читаем вопрос
| Цитата |
| возможно ли сделать так: Человек кликает по ссылке в его письме и при переходе по ней ему бы не нужно было бы авторизироваться на сайте. Он бы проходил тест, а сайт бы записывал результат в базу понимая что это именно результат человека с конкретного почтового адреса. |
| Цитата (123456 @ 19.09.2015 - 17:47) |
| дружно читаем вопрос |
Это не первый случай, когда после обсуждения на форуме менялась формулировка вопроса.
У нас нет возможности проверить с какого мейла пришел посетитель.
_____________
Бесплатному сыру в дырки не заглядывают...
NewCoder
Можно. Делаешь временный ключ с какой нибудь случайной солью, который храниться в соседнем поле в таблице, а ссылка вида /auth/id/33/key/kdj4fghs5dgjb допустим или /auth/33-kdj4fghs5dgjb.
Если id с ключом совпадает и если время, когда был сгенерирован ключ не больше 24 часов назад, тогда всё норм, авторизируешь чувака, а из базы ключ удаляешь.
Только ещё проверяй на пустой ключ при авторизации.
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
Можно. Делаешь временный ключ с какой нибудь случайной солью, который храниться в соседнем поле в таблице, а ссылка вида /auth/id/33/key/kdj4fghs5dgjb допустим или /auth/33-kdj4fghs5dgjb.
Если id с ключом совпадает и если время, когда был сгенерирован ключ не больше 24 часов назад, тогда всё норм, авторизируешь чувака, а из базы ключ удаляешь.
Только ещё проверяй на пустой ключ при авторизации.
_____________
Промокод предоставляет скидку на заказ домена и/или хостинга reg.ru
BFCC-3895-8804-9ED2
| Цитата (sergeiss @ 19.09.2015 - 16:56) |
| Использование же куки позволяет ограничить это только одним браузером - тем, откуда изначально был сделан запрос. ... |
Да, об этом я не подумал, - забираю своё "масленное" обратно.
Согласен, такая авторизация заметно надёжнее одной ссылки.
_____________
Рекламка / ad.pesow.com Хрень / mr-1.ru
Здесь расположена полная версия этой страницы.