nicht angemeldet
Login über mail
Hallo,
Ich habe ein kleines forum programmiert bei dem man benachrichtigt wird wenn man eine antwort bekommen hat.
Das Forum ist Passwortgeschützt und kann nur durch ein loginformular betreten werden wo es dann sessionbasiert weitergeht.
Mein Problem ist, das ich nicht weiß wie ich es machen soll in die Benachrichtigungsmail ein direkten Link zum Thread anzugeben, ohne das Passwort offensichtlich in den link einzubauen.
Der User soll direkt dort hingelangen ohne seine benutzerdaten angeben zu müssen und eine session wird automatisch erstellt.
Hat irgendwer eine goldene Idee ???
-
hi
du könntest die daten verschlüsseln keine ahnung wie aber muss doch irgendwie möglich sein... also dass dann im link ein
?usr=name&pwd=asfjkhsdfkljhdf9090q3u34093asdlkjdljaslkjd
oder so steht...-
Hm gibt das die möglichkeit ??
Hat irgendwer nen Plan ???
also ich kann die ja mit uniquid() verschlüsseln...aber kann ich die Abfrage mit sonem Zeichengewuschel dann auch durchführen wenn die Passwörter nicht verschlüsselt sind ???-
Moin,
Hm gibt das die möglichkeit ?? Hat irgendwer nen Plan ???
Man könnte es vielleicht mit einem cookie versuchen,das beim letzten login gesetzt wurde und solange das cookie aktuell ist hat der user Zugang- Irgendwie müsste es eine Möglichkeit geben das cookie so einzubinden,dass die url dann demensprechend anzeigt.
Grüsse vom Alain
--
...nobody is perfect I am nobody-
Möglich ist einerseits das Mitschicken des md5() verschlüsselten Passwords. Da jedoch auch dies aufgrund Abfangen u.a. o.g. Gründe nicht sonderlich sicher ist, bleibt nur die Möglichkeit einen Cookie zu setzen. Dieser wird dann bei jedem Thread des Forums aufgerufen (nur zum Verständnis, Cookies werden vom Browser automatisch gesendet) und gewähren dem User Einlass.
Ist bloß blöd, wenn der Nutzer mal nicht zu Hause ist ...
-
-
-
-
Hallo Ingo,
gib der E-Mail eine zufällige ID mit, die Du an die zu erwartende Session anbindest. Das Verfahren ist jedoch nicht sonderlich sicher.
Gruß
Eidgenosse
-
Moin!
Mein Problem ist, das ich nicht weiß wie ich es machen soll in die Benachrichtigungsmail ein direkten Link zum Thread anzugeben, ohne das Passwort offensichtlich in den link einzubauen.
Der User soll direkt dort hingelangen ohne seine benutzerdaten angeben zu müssen und eine session wird automatisch erstellt.Tatsache ist: Du kennst die Userpasswörter nicht - solltest du jedenfalls nicht kennen, sondern sie beim ersten Anlegen oder späteren Generieren immer gleich mit md5() oder ähnlichen Funktionen verschlüsseln, damit auch niemand anderes rankommt.
Folglich kannst du es eigentlich auch nicht hinkriegen, die Benutzerdaten vollständig im Link mitzuschicken.
Und selbst, wenn doch: Es ist keine gute Idee. Mails gehen verloren, werden fehlgeleitet, werden abgefangen und von Unbefugten gelesen. Sollen die alle Zugriff auf das Forum erhalten, mit dem Account des Benachrichtigten?
Einen Link auf die zu lesende Seite zu setzen ist sicherlich gut. Das kann aber, so wie in diesem Forum hier, trotzdem mit vorheriger Authentifizierung geschehen, wenn sie erforderlich ist - wenn dein Login-Mechanismus entsprechend intelligent ist, um das hinzukriegen: Also die Login-Frage nur stellen, wenn der User noch nicht angemeldet ist, und nach der Anmeldung (oder sofort) auf die gewünschte Seite weiterleiten.
- Sven Rautenberg
--
"Bei einer Geschichte gibt es immer vier Seiten: Deine Seite, ihre Seite, die Wahrheit und das, was wirklich passiert ist." (Rousseau)