通过发送带有 token 码的链接，让用户收取邮件点击链接进行登录网站，不用密码，这样是否安全？或者通过手机短信。当然， token 应该在点击或一段时间后失效。

2015-04-08 22:04:05 +08:00

yjsslab

感觉不太安全。但用于类似论坛这类网站应该还行吧？

3670 次点击

所在节点

9 条回复

2015-04-08 22:10:24 +08:00

长度够长就没问题，生成算法别太简单。
ban掉不停穷举的ip。因为这个一个ip不可能短时间内有很多请求。

heat

2015-04-08 22:11:19 +08:00

看什么类型的社区了，无论怎么说，门槛太高了
邮箱 = 麻烦
手机 = 隐私

2015-04-08 22:13:12 +08:00

这种只适合一次性的认真，似乎你是想让用户就访问一个地址而不输入密码，当做所谓的秘密入口？这就不安全了，明文发送密码就不安全了，你这样连流浏览器历史都能搞得到的秘密…

2015-04-08 22:14:19 +08:00

为了方便，可以第三方oauth，qq一扫就好，现在论坛都支持啊，你去看看。

lshero

2015-04-08 23:07:47 +08:00

还是考虑一下有的时候信号不好收不到短信或者短信网关抽筋导致的延时吧

aaaa007cn

2015-04-08 23:33:06 +08:00

某些邮箱会自动请求邮件中的链接
你准备如何解决这种？

yjsslab

2015-04-08 23:47:36 +08:00

@loading token 打算用 uuid

@heat 嗯，大多数网民连 email 是什么都不知道

@loading 这个本来就相当于第三方登录，只是第三方变成邮箱/手机

@aaaa007cn 这确实是个问题

所以，还是通过第三方登录比较方便。

kslr

2015-04-09 00:40:51 +08:00

那你的链接是get 随便一个地方就能看到了

yjsslab

2015-04-09 01:11:52 +08:00

@kslr 这个没问题，可以在访问登录页面时预设一个 cookie 做匹配.

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

通过发送带有 token 码的链接，让用户收取邮件点击链接进行登录网站，不用密码，这样是否安全？ 或者通过手机短信。当然， token 应该在点击或一段时间后失效。