如何在没有用户登录的情况下使用授权保护网站
本文关键字:授权 保护 网站 保护网 情况下 登录 用户 | 更新日期: 2024-11-07 12:10:11
这种情况是登录用户准备一些材料并将其发送到多个电子邮件地址。在每封电子邮件中,都有一个指向网页的链接,访问者可以在其中阅读某些内容并留下建议。
由于我无法要求访问者自己注册,因此要访问的页面在未经授权的情况下被暴露。但是,一个需要有效的 guid 才能访问现有页面。
我的问题是是否有一种好方法可以为未登录的用户提供授权。发送到其电子邮件帐户的 guid 令牌是否是我能提供的最佳保护,因为他们自己手动登录不会费心?
我拒绝了跟踪IP号码的想法,因为我不能保证他们不会从不同的位置访问该网站。
可以使用共享访问签名方法。Azure 使用它来获取对存储的访问权限(使用过期时间等策略),OneDrive 使用类似的方法来共享文件等。我认为(你提到了Azure)你甚至可以使用Azure Storage SAS机制来实现这一点。我相信,如果没有过期和其他策略,只有GUID,这不是理想的解决方案。
我想大多数人会在默认浏览器中打开链接。比有一个js库指纹,它允许识别用户唯一的浏览器实例。您可以将此库注入到用户将从其电子邮件客户端访问的目标网页中(通过单击链接)。因此,存储guid和用户指纹可以提供一些简单的"授权"。
在一般存储 guid 和电子邮件中,发送此 guid 的位置是更通用的解决方案。但不是那么安全,因为任何人都可以窃取 guid 并用于冒充。