Разовая ссылка доступа на сайт

Предусмотрена ли такая возможность?

dedushka	#1 2014-01-06 21:31
Members	При переходе по ссылке подтверждения регистрации, сайт (Siena 0.15) ведет себя очень приятным образом: пользователь распознается как "свой" + происходит автоматический логин. Повторно ссылка уже не срабатывает. Предусмотрена ли такая возможность для обычных пользователей? Т.е. можно ли выслать зарегистрированному пользователю на его email разовую ссылку, по которой происходил бы автоматический логин этого пользователя? Вроде бы сайт должен давать доступ по сгенерированной для пользователя ссылке типа login.php?a=check&v={lostpass}&token={token} Однако, не пускает, хотя в логе пользователь прописывается верно: Failed user validation login attempt : {username} ...
This post was edited by dedushka (2014-01-07 01:07, 11 years ago)

dedushka

#1 2014-01-06 21:31

При переходе по ссылке подтверждения регистрации, сайт (Siena 0.15) ведет себя очень приятным образом: пользователь распознается как "свой" + происходит автоматический логин. Повторно ссылка уже не срабатывает. Предусмотрена ли такая возможность для обычных пользователей? Т.е. можно ли выслать зарегистрированному пользователю на его email разовую ссылку, по которой происходил бы автоматический логин этого пользователя?

Вроде бы сайт должен давать доступ по сгенерированной для пользователя ссылке типа login.php?a=check&v={lostpass}&token={token}

Однако, не пускает, хотя в логе пользователь прописывается верно: Failed user validation login attempt : {username} ...

This post was edited by dedushka (2014-01-07 01:07, 11 years ago)

Trustmaster	#2 2014-01-07 08:49
Administrators Thanked: 263 times	Для обычных не предусмотрена, потому что это может быть использовано злоумышленниками. Если нужно разово разослать всем пользователям одноразовые ссылки (например, если все пользователи разом забыли свои пароли), то для этого есть отдельный плагин onetimelogin. Правда, у него нет встроенного инструмента рассылки. May the Source be with you!

Trustmaster

#2 2014-01-07 08:49

Administrators
Thanked: 263 times

Для обычных не предусмотрена, потому что это может быть использовано злоумышленниками. Если нужно разово разослать всем пользователям одноразовые ссылки (например, если все пользователи разом забыли свои пароли), то для этого есть отдельный плагин onetimelogin. Правда, у него нет встроенного инструмента рассылки.

May the Source be with you!

dedushka	#3 2014-01-07 08:58
Members	Спасибо огромное за ответ! Если не затруднит -- пару слов о тактике злоумышленников в данном случае. Отправка пользователю разовой ссылки кажется не более опасной процедурой, чем отправка пароля в явном виде... Чем был бы плох плагин с названием типа "Войти из почты", отправляющий посетителю на указанный им email зарегистрированного пользователя разовую ссылку с (опциально) ограниченным сроком действия, контролем IP и пр.?
This post was edited by dedushka (2014-01-07 11:30, 11 years ago)

dedushka

#3 2014-01-07 08:58

Members

Спасибо огромное за ответ! Если не затруднит -- пару слов о тактике злоумышленников в данном случае. Отправка пользователю разовой ссылки кажется не более опасной процедурой, чем отправка пароля в явном виде... Чем был бы плох плагин с названием типа "Войти из почты", отправляющий посетителю на указанный им email зарегистрированного пользователя разовую ссылку с (опциально) ограниченным сроком действия, контролем IP и пр.?

This post was edited by dedushka (2014-01-07 11:30, 11 years ago)

Trustmaster	#4 2014-01-07 16:54
Administrators Thanked: 263 times	Как разовая мера это ОК. Но если бы эта функция работала на постоянной основе, то достаточно было бы каким-то образом узнать сгенерированный код, чтобы в любой момент зайти в чужой аккаунт. А код этот хранится в открытом виде в БД, в отличие от пароля. May the Source be with you!

Trustmaster

#4 2014-01-07 16:54

Administrators
Thanked: 263 times

Как разовая мера это ОК. Но если бы эта функция работала на постоянной основе, то достаточно было бы каким-то образом узнать сгенерированный код, чтобы в любой момент зайти в чужой аккаунт. А код этот хранится в открытом виде в БД, в отличие от пароля.

May the Source be with you!

dedushka	#5 2014-01-07 20:31
Members	Разовая ссылка -- это ссылка, которая срабатывает только один раз. При первом переходе по этой ссылке, я меняю lostpass, поэтому уже второй переход не даст результата. Такая процедура тянет на "разовую меру"? Ведь даже ставший кому-то известным lostpass, в базе уже не будет храниться... И может ли плагин менять lostpass без последствий для стандартных функций движка?
This post was edited by dedushka (2014-01-07 23:34, 11 years ago)

dedushka

#5 2014-01-07 20:31

Members

Разовая ссылка -- это ссылка, которая срабатывает только один раз. При первом переходе по этой ссылке, я меняю lostpass, поэтому уже второй переход не даст результата. Такая процедура тянет на "разовую меру"? Ведь даже ставший кому-то известным lostpass, в базе уже не будет храниться... И может ли плагин менять lostpass без последствий для стандартных функций движка?

This post was edited by dedushka (2014-01-07 23:34, 11 years ago)