您是否可以在创建帐户步骤安全地提供永久登录权限?
问题描述:
如果一个站点使用根据best practices defined here设置的永久登录功能,那么在帐户创建步骤中将永久登录Cookie放置正确有没有任何潜在的安全问题? (立即在服务器上验证新的帐户数据。)该网站不要求用户通过电子邮件链接验证新帐户。您是否可以在创建帐户步骤安全地提供永久登录权限?
答
如果这符合您的需求,那么就没有技术上的理由来阻止您放弃持久性cookie。有一个假设,你想这样做,以保持用户之间的浏览器重新启动等登录。
只要做到这一点谨慎,在t'internet整个帐户激活没有某种验证/确认打开利用 - 只要你权衡了这些风险,那么我就没有问题了。
答
我不明白为什么不 - 用户只需输入自己的密码,毕竟,你不能再次要求它得到什么。
答
只要他们注册后给他们的cookie是新的,那就好了。我怀疑这很罕见,因为大多数地方都会进行电子邮件验证。
你是什么意思“在创建帐户的步骤中删除永久登录cookie”? – Draemon 2009-07-29 17:03:34