这样的无密码登录方案有什么硬伤不?

2013-12-26 14:48:45 +08:00
 love
用户登录/注册时,只需输入一个邮箱,然后发登录链接到邮箱,点击登录(如果还没有注册过就用这个邮箱创建用户),然后设置cookie为永久。

我是想用这样子偷点懒,毕竟做足全套太麻烦,而且主要的登录手段是社交网站登录,这个方式是后备方式。
4055 次点击
所在节点    奇思妙想
16 条回复
letitbesqzr
2013-12-26 14:51:34 +08:00
登陆邮箱还要输入密码.还不如直接输入密码方便.
dorentus
2013-12-26 14:52:40 +08:00
登录链接是只能用一次还是一直可以用?如果一直可用的话,限不限制来源 IP?
登录 cookie 因为某种原因丢失了呢?

----------------------
作为后备方式的话,倒是问题也不大。
为了安全,建议:
1) 登录链接只能用一次
2) 用户可以随时请求一个新的登录链接发到邮箱
niseter
2013-12-26 14:54:54 +08:00
你搞这个关键还是cookie有效期怎么控制,还有小心XSS
clww
2013-12-26 14:55:30 +08:00
love
2013-12-26 15:01:23 +08:00
@letitbesqzr 一般人主用的登录邮箱不用密码了吧,都是记住登录了。

@dorentus 当然只能用一次,登录cookie没有了可以再登录,发链接到同一邮箱,还是进原来的帐号,数据不会没有(因为帐号是用目标邮箱创建的)。

@niseter XSS不是和别的登录方案一样的,cookie有效期永久,毕竟基本上都是在自已电脑上操作,当然也有一个退出连接可以删除cookie。
Shieffan
2013-12-26 15:20:20 +08:00
安全性上应该没多大问题,但是便利性值得商榷,如果还要支持移动设备,那就更蛋碎了。

还有就是要考虑下你的邮件送达率,以及如何防spamer,给我的感觉就是这种登录方式很脆弱。不过如果你面对的比较小的用户群体,那应该没啥问题。
love
2013-12-26 15:30:41 +08:00
@Shieffan
脆弱应该不至于,因为现在很多网站注册的时候也是要去邮箱收一个验证连接才能用的,没有本质上的不同,spamer也是一样的,同样是限制ip操作的频率。

因为cookie是永久的,每个设备只需做一次,便利性上应该不是问题。
而且有必要的话还可以在网站设置里加一个密码输入框,如果设置的话可以用这个密码登录。
Hyperion
2013-12-26 15:44:45 +08:00
邮箱登陆, 并不是每个邮箱都是这么方便的, 如果遇到不怎么使用邮箱的人, 反而更糟糕. 安全性和稳定性, 完全是依赖邮件服务商的良心和用户的一些相关习惯.

密码, 只要大脑能正常工作就可以完成认证呐...
Ever
2013-12-26 15:47:19 +08:00
用户稍多,发信地址早晚进各家邮局黑名单。
Shieffan
2013-12-26 15:53:31 +08:00
@love 我们公司用的sendgrid的邮件服务,邮件送达率也只是在90%徘徊。

如果再碰到蛋疼点的邮件服务商,那就更让人捉急了。像QQ这种检测你发送阀值的,动不动就给你block了。
Shieffan
2013-12-26 15:55:31 +08:00
不过按你说的“而且主要的登录手段是社交网站登录”,我觉得你的登录方案应该可以应付你的需求。
bingu
2013-12-26 17:46:27 +08:00
deepure
2013-12-26 18:47:37 +08:00
@love 你这个一般人主邮箱都记住密码了,太自主加妄断了
wwwjfy
2013-12-26 18:58:42 +08:00
The Magazine就是这么做的..
https://the-magazine.org/login
newborn
2013-12-27 14:24:59 +08:00
@niseter 只要加上httponly就不怕xss了。
dimpurr
2013-12-28 10:52:18 +08:00
主要看受众群体,有些人查个邮件比注册还麻烦。移动端也是。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/94644

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX