Должен ли пользователь автоматически входить в систему после регистрации?

Безопасно ли автоматически входить в систему после регистрации?

Пользователь заполняет регистрационную форму, на его почтовый ящик приходит информационное сообщение, и что дальше:

  • Пользователь перенаправляется на страницу входа с запросом учетных данных;

ИЛИ

  • Пользователь автоматически входит в систему как только что созданный пользователь?

Я чувствую что-то не достаточно безопасное в автологине, но не могу понять!


registration autologin login
person s.webbandit    schedule 28.09.2012    source источник
comment
Мне любопытно, есть ли за этим реальная причина безопасности, потому что лично меня ужасно раздражает, когда я регистрируюсь, а я не вхожу в систему автоматически.   -  person David    schedule 28.09.2012
comment
с точки зрения пользователя очень раздражает повторный вход в систему   -  person Scott Selby    schedule 28.09.2012
comment
Да, это раздражает, но безопасность и удобство часто являются компромиссом.   -  person akronymn    schedule 29.09.2012

Ответы (3)


arrow_upward
7
arrow_downward

Если они только что заполнили данные для входа, и вы не беспокоитесь о том, чтобы подтвердить, что адрес электронной почты является законным, тогда не должно быть проблем, просто войдите в систему напрямую.

Однако вы открываете себя для людей/ботов, создающих поддельные учетные записи (по крайней мере, без законных адресов электронной почты). Если вы обеспокоены этим (не уверены, что это общедоступное приложение или интранет и т. д.), вам следует хотя бы подтвердить адрес электронной почты, отправив ссылку с guid или каким-либо идентификатором, который вы можете отследить. Затем вы можете позволить им войти в систему после их подтверждения.

Вы также можете просто привязать его к своей учетной записи StackExchange/Facebook/OpenID/и т. д. и не заставлять пользователей заполнять еще одну форму и беспокоиться о сохранении всей этой информации.

person Glade Mellor    schedule 28.09.2012

arrow_upward
3
arrow_downward

Они должны войти в систему. Кроме того, электронное письмо с подтверждением не должно не содержать их пароль. Если им удалось дать вам неправильный адрес электронной почты, и вы автоматически вошли в систему, то теперь кто-то другой имеет доступ к их учетной записи. Это справедливо даже в том случае, если вы попросите их ввести свой адрес электронной почты дважды. Иногда люди совершают одну и ту же ошибку дважды подряд.

person akronymn    schedule 28.09.2012
comment
Если им удалось дать вам неправильный адрес электронной почты, и вы автоматически вошли в систему, то теперь кто-то другой имеет доступ к их учетной записи. - Это утверждение не имеет смысла в контексте вопроса. За исключением каких-либо опасений по поводу отправки конфиденциальной информации по электронной почте (чего не было в вопросе), автоматический вход в систему только что зарегистрированного пользователя дает доступ пользователю, который только что зарегистрировался. Как кто-то другой может это перехватить? - person David; 29.09.2012
comment
Я просто предположил, что было понято, что учетную запись необходимо подтвердить, щелкнув ссылку в электронном письме с подтверждением. Пропуск этого шага является еще большим недостатком безопасности, чем автоматический вход в систему после подтверждения. Настоящий вопрос заключается не в том, должен ли пользователь входить в систему сразу после заполнения регистрационной формы. Это вопрос о том, должны ли они войти в систему после нажатия на ссылку подтверждения в электронном письме. - person akronymn; 29.09.2012
comment
@akronymn на самом деле реальный вопрос был Должен ли пользователь автоматически входить в систему после регистрации? - person Jay; 01.04.2016
comment
@jay да и? Я ответил на этот вопрос и использовал проблемы с проверкой аккаунта, чтобы объяснить, почему. - person akronymn; 26.07.2017

arrow_upward
3
arrow_downward

Автоматический вход в систему может быть безопасным, если у пользователя уже есть активный сеанс в качестве правильного пользователя на этапе подтверждения. Если вы думаете об этом, на самом деле это не «автоматическая регистрация их», а просто сохранение их в системе, как это было раньше.

  1. Регистрация пользователей
  2. Держите сеанс, идентифицирующий пользователя
  3. Пользователь переходит на страницу подтверждения (ссылка в электронном письме)
  4. Вы активируете аккаунт

За все это время не было причин заканчивать сессию. Единственная причина, по которой вы хотели бы завершить сеанс (или вообще не создавать его), заключается в том, что ваши разрешения не установлены должным образом, чтобы разрешить кому-либо войти в систему / создать сеанс, не предоставляя им более высокие привилегии, чем незарегистрированный пользователь.

Теперь позаботьтесь о том, чтобы автоматически не идентифицировать пользователя как X просто потому, что этот человек перешел на страницу подтверждения пользователя X. Если пользователь переходит на эту страницу, но еще не имеет открытого сеанса, не предполагайте, что он знает пароль.

person Lewis Diamond    schedule 28.09.2012