私が取り組んでいる拡張機能の自動ログイン機能を構築することを検討していました。この機能では、メールのリンクをクリックした顧客が自動的にアカウントにログインします。
これは、ログインして購入するために忘れたパスワードを押す必要がある高度な変更があるため、特に古い顧客に送信するときに特に役立ちます。
しかし、その一方で、あまり興奮していないいくつかの脆弱性が開かれます。顧客がメールを友人に転送し、友人がリンクをクリックした場合、顧客は友人としてもログインします。
これらのメールを転送しないように顧客を教育することはできますが、それは困難な戦いになる可能性があります。マーケティングメールを友人に転送すると、彼らがあなたのアカウントに不正にログインできるようになるという考えは、人々がすぐに慣れるものではありません。
考え?
更新:Quoraがコメント通知メールから自動ログインを行うことに気づきました。
回答:
私はそのような機能はお勧めしません...
とにかく、この機能を構築する場合は、次の点を考慮してください。
http://shop.tld/?autologintoken = AABBCCDDのようなトークンベースのログインを使用する
これが初めての場合、顧客がログインするときに、認証トークンを1回のログインに制限します。
トークンを顧客ごとに一意にします。また、(非常に重要)ユーザー名/パスワード/アドレス/名前/メール/何にも基づいていません。Mage_Core_Helper_Data :: getRandomStringが役立ちます。長さは32が最低だと思います。md5(time())のようなものを使用しないでください!
顧客がパスワードを変更するたびにトークンを変更する
トークンを使用してログインした顧客のアカウントアクセスを制限します。たとえば、メールアドレスに変更したい場合やCC番号にアクセスしたい場合にパスワードを入力できるようにします。これは、セキュリティを改善するのに少し役立ちます
ブラウザ、Cookie、IPなどに依存しないでください。