我有一个包含所有个人信息(姓名、名字、出生日期、电子邮件等)的人的列表。我在数据库中为他们每个人都创建了一个账户。我用的是Firebase
既然我已经有了所有的用户信息,我不希望他们在注册我的网站时再次输入。
因此,我创建了一个使用自定义令牌进行身份验证的系统。我把它们作为URL的参数发送给我的每一个用户。
- 当用户第一次点击链接时:他被重定向到注册页面,所有字段都预先填充(姓名,出生日期,电子邮件等),除了密码。他输入他想要的密码并注册。
- 当用户每隔一次点击链接时,他会被重定向到登录页面。一个简单的电子邮件+密码界面,电子邮件字段已经预先填充。他输入密码并登录。
这是伟大的工作,但我想知道:这是坏的做法,这样做吗?让任何收到电子邮件的人以我的用户名创建帐户是否不安全?我是否应该假设除我的用户之外的其他人可以完全访问我的用户电子邮件帐户?我应该为这种可能性做好准备吗?
既然我已经有了所有的用户信息,我不希望他们在注册我的网站时再次输入。
如果你已经有了用户的信息,并且允许你处理它,那么最好不要让用户做已经做过的事情。
这样做是不好的做法吗?
一点也不。在我看来,这种做法几乎无处不在。如果您想要编辑概要文件数据,那么您总是已经预先填充了现有数据。用户只需要验证它或在需要时更改它。
让任何收到电子邮件的人以我的用户名创建帐户是不安全的吗?
如果其他人可以使用该URL并代表用户创建帐户,这听起来不是最好的选择。最有可能的是,您应该考虑让用户创建帐户,只有当它可以通过短信或任何其他特定于该用户的服务来验证数据时。
我是否应该假设除了我的用户之外的其他人可以完全访问我的用户电子邮件帐户?我应该为这种可能性做好准备吗?
的确是的。你应该随时做好准备。从不相信用户。世界上没有一个完美的世界。