Разовая ссылка доступа на сайт

Предусмотрена ли такая возможность?

dedushka	#1 06.01.2014 21:31
Members	При переходе по ссылке подтверждения регистрации, сайт (Siena 0.15) ведет себя очень приятным образом: пользователь распознается как "свой" + происходит автоматический логин. Повторно ссылка уже не срабатывает. Предусмотрена ли такая возможность для обычных пользователей? Т.е. можно ли выслать зарегистрированному пользователю на его email разовую ссылку, по которой происходил бы автоматический логин этого пользователя? Вроде бы сайт должен давать доступ по сгенерированной для пользователя ссылке типа login.php?a=check&v={lostpass}&token={token} Однако, не пускает, хотя в логе пользователь прописывается верно: Failed user validation login attempt : {username} ...
Отредактировано: dedushka (07.01.2014 01:07, 10 лет назад)

dedushka

#1 06.01.2014 21:31

При переходе по ссылке подтверждения регистрации, сайт (Siena 0.15) ведет себя очень приятным образом: пользователь распознается как "свой" + происходит автоматический логин. Повторно ссылка уже не срабатывает. Предусмотрена ли такая возможность для обычных пользователей? Т.е. можно ли выслать зарегистрированному пользователю на его email разовую ссылку, по которой происходил бы автоматический логин этого пользователя?

Вроде бы сайт должен давать доступ по сгенерированной для пользователя ссылке типа login.php?a=check&v={lostpass}&token={token}

Однако, не пускает, хотя в логе пользователь прописывается верно: Failed user validation login attempt : {username} ...

Отредактировано: dedushka (07.01.2014 01:07, 10 лет назад)

Trustmaster	#2 07.01.2014 08:49
Administrators Поблагодарили: 263 раза	Для обычных не предусмотрена, потому что это может быть использовано злоумышленниками. Если нужно разово разослать всем пользователям одноразовые ссылки (например, если все пользователи разом забыли свои пароли), то для этого есть отдельный плагин onetimelogin. Правда, у него нет встроенного инструмента рассылки. May the Source be with you!

Trustmaster

#2 07.01.2014 08:49

Administrators
Поблагодарили: 263 раза

Для обычных не предусмотрена, потому что это может быть использовано злоумышленниками. Если нужно разово разослать всем пользователям одноразовые ссылки (например, если все пользователи разом забыли свои пароли), то для этого есть отдельный плагин onetimelogin. Правда, у него нет встроенного инструмента рассылки.

May the Source be with you!

dedushka	#3 07.01.2014 08:58
Members	Спасибо огромное за ответ! Если не затруднит -- пару слов о тактике злоумышленников в данном случае. Отправка пользователю разовой ссылки кажется не более опасной процедурой, чем отправка пароля в явном виде... Чем был бы плох плагин с названием типа "Войти из почты", отправляющий посетителю на указанный им email зарегистрированного пользователя разовую ссылку с (опциально) ограниченным сроком действия, контролем IP и пр.?
Отредактировано: dedushka (07.01.2014 11:30, 10 лет назад)

dedushka

#3 07.01.2014 08:58

Members

Спасибо огромное за ответ! Если не затруднит -- пару слов о тактике злоумышленников в данном случае. Отправка пользователю разовой ссылки кажется не более опасной процедурой, чем отправка пароля в явном виде... Чем был бы плох плагин с названием типа "Войти из почты", отправляющий посетителю на указанный им email зарегистрированного пользователя разовую ссылку с (опциально) ограниченным сроком действия, контролем IP и пр.?

Отредактировано: dedushka (07.01.2014 11:30, 10 лет назад)

Trustmaster	#4 07.01.2014 16:54
Administrators Поблагодарили: 263 раза	Как разовая мера это ОК. Но если бы эта функция работала на постоянной основе, то достаточно было бы каким-то образом узнать сгенерированный код, чтобы в любой момент зайти в чужой аккаунт. А код этот хранится в открытом виде в БД, в отличие от пароля. May the Source be with you!

Trustmaster

#4 07.01.2014 16:54

Administrators
Поблагодарили: 263 раза

Как разовая мера это ОК. Но если бы эта функция работала на постоянной основе, то достаточно было бы каким-то образом узнать сгенерированный код, чтобы в любой момент зайти в чужой аккаунт. А код этот хранится в открытом виде в БД, в отличие от пароля.

May the Source be with you!

dedushka	#5 07.01.2014 20:31
Members	Разовая ссылка -- это ссылка, которая срабатывает только один раз. При первом переходе по этой ссылке, я меняю lostpass, поэтому уже второй переход не даст результата. Такая процедура тянет на "разовую меру"? Ведь даже ставший кому-то известным lostpass, в базе уже не будет храниться... И может ли плагин менять lostpass без последствий для стандартных функций движка?
Отредактировано: dedushka (07.01.2014 23:34, 10 лет назад)

dedushka

#5 07.01.2014 20:31

Members

Разовая ссылка -- это ссылка, которая срабатывает только один раз. При первом переходе по этой ссылке, я меняю lostpass, поэтому уже второй переход не даст результата. Такая процедура тянет на "разовую меру"? Ведь даже ставший кому-то известным lostpass, в базе уже не будет храниться... И может ли плагин менять lostpass без последствий для стандартных функций движка?

Отредактировано: dedushka (07.01.2014 23:34, 10 лет назад)