2
註冊後自動登錄用戶安全嗎?用戶是否應該在註冊後自動登錄?
用戶填寫登記表,一些信息郵件發送到他的郵箱,然後什麼:
- 用戶重定向到登錄頁面,要求他提供憑據;
OR
- 用戶自動登錄作爲他新創建的用戶?
我覺得自動登錄不夠安全,但無法弄清楚!
A
回答
3
如果他們剛剛填寫了登錄信息,而您並不擔心確認電子郵件地址是否合法,那麼直接登錄它們應該不會有問題。
但是,你自己開放自己的人/機器人創建虛假帳戶(至少有一個沒有合法的電子郵件地址)。如果您擔心這一點(不確定它是面向公衆的應用程序或內聯網等),那麼您至少應該通過發送帶有guid或某些標識符的鏈接來驗證電子郵件地址。然後,您可以讓他們在確認後登錄。
您也可以將其綁定到他們的StackExchange/Facebook/OpenID/etc帳戶,而不是讓用戶填寫另一個表單並擔心維護所有信息。
1
他們應該需要登錄。確認電子郵件應該包含密碼而不是。如果他們設法給您錯誤的電子郵件地址,並且您自動登錄,那麼現在有人可以訪問他們的帳戶。即使你讓他們輸入他們的電子郵件地址兩次,也是如此。有時候人們連續兩次犯同樣的錯誤。
+0
*「如果他們設法給你錯誤的電子郵件地址,並且你自動登錄,那麼現在有人可以訪問他們的帳戶。」* - 這個陳述在問題的背景下沒有意義。除了關於在電子郵件中發送敏感信息(這不是問題)的任何擔憂之外,自動登錄剛剛註冊的用戶可以訪問剛註冊的用戶。其他人如何攔截? – David
+0
我只是假設您瞭解該帳戶需要通過點擊確認電子郵件中的鏈接進行確認。跳過這一步是一個更大的安全漏洞,而不是在確認後自動登錄某人。真正的問題不是用戶是否應該在填寫註冊表格後立即登錄。是否在點擊電子郵件中的確認鏈接後才能登錄。 – akronymn
+0
@akronymn其實真正的問題是「用戶應該在註冊後自動登錄?」 – Jay
0
如果用戶在確認步驟中已經擁有活動會話作爲正確用戶,那麼自動登錄可能很安全。如果你仔細想想,它實際上並不是「自動登錄」,而只是保持它們以前的登錄狀態。
- 用戶註冊
- 保持會話標識
- 用戶導航到確認頁面的用戶(在電子郵件中的鏈接)
- 您激活帳戶
在所有的時間,有沒有理由結束會議。您希望結束會話的唯一原因(或者不是首先創建一個會話)是因爲您的權限未正確設置爲允許某人登錄/創建會話而未授予他們比未註冊用戶更高的權限。
現在,請不要僅僅因爲此用戶導航到用戶X的確認頁面而自動將用戶標識爲X.如果用戶導航到此頁面但尚未打開會話,請不要假設他知道密碼。
相關問題
- 1. 註冊後自動登錄
- 2. 註冊後自動登錄
- 3. 註冊後自動登錄
- 4. 註冊後自動登錄
- 5. 設計註冊自動登錄用戶
- 6. 在CAS註冊後自動登錄
- 7. 在Silex註冊後自動登錄
- 8. 在Identityserver4註冊後自動登錄用戶
- 9. 如何在註冊後自動登錄用戶
- 10. PHP註冊後自動登錄
- 11. 註冊後自動登錄PHP
- 12. Laravel 5.4 - 註冊後自動登錄
- 13. WordPress插件註冊後自動登錄
- 14. Symfony2註冊後自動登錄
- 15. .NET MVC 4註冊後自動登錄
- 16. wordpress註冊後自動登錄
- 17. Yii2註冊後自動登錄
- 18. 註冊後自動登錄 - WordPress的
- 19. Passportjs PREVENT註冊後自動登錄
- 20. Spring Security - 註冊用戶後自動登錄失效
- 21. 註冊後的自動登錄用戶Wordpress
- 22. 註冊後禁止用戶自動登錄
- 23. CreateUserWizard:註冊後,我希望用戶自動登錄
- 24. 用戶註冊後Django自動登錄(1.4)
- 25. 流星:註冊用戶,然後自動登錄
- 26. 在magento註冊後自動登錄客戶
- 27. 用Javascript註冊用戶註冊登錄
- 28. 防止用戶在asp.net註冊控件中註冊後登錄
- 29. Rails:註冊後登錄用戶
- 30. 註冊用戶後停止登錄
我很好奇它背後是否存在真正的安全原因,因爲我個人發現它在註冊時非常煩人,而且我沒有自動登錄。 – David
從用戶的立場來看,非常煩人以再次登錄 –
令人討厭的是,但安全性和便利性往往是一種折衷。 – akronymn