Авторизация через ссылку

Question

[bulbazaur]

Добрый день!

Некоторые оповещения на e-mail приходят с такой ссылкой, при клике на которую открывается сайт и происходит авторизация юзера, даже если отсутствуют куки. Делается скорее всего как-то через хэш, и пример — facebook. Подскажите, как называется технология?

Спасибо.

Comments

[bulbazaur]

Ещё желательно примеры такого, если знаете.

[dali]

так нужно именно название технологии или как реализуется?

Answer 1

[Александр]

наверное лучше при генерации ссылки делать хэш какой-то информации и сохранять в БД а при заходе по ссылке уже сравнивать есть ли такой хэш в БД, если да то логинить

Comments

[Александр]

хочу добавить что при переходе один раз я бы такую ссылку считал уже не рабочей

[Paul Denisevich]

Ну просто удалить линк в БД после захода юзера и все.

Answer 2

[Dmitry]

А можно пример такой ссылки от фейсбука?

Answer 3

[Сергей]

Не знаю, как называется технология, но можно сделать примерно так:
передать параметры get путем, где будет мд5 хэш логина и пароля. (в адресной строке. Например так index.php?u=мд5хэш&p=ещехэш
На сервере обработать и залогинить юзера.

Comments

[Алексей]

Плохо. Хэш должен быть одноразовый.

Answer 4

[Ura78]

Технология называется «Подари инфу людям» :) Ну а если серьезно, то просто хочу предупредить тык

Comments

[bulbazaur]

ссылка в письме, а письма, думаю, не индексируются. надеюсь даже :)

[B@rmaley.e><e]

И как это связано с авторизацией? Проиндексировали-то содержимое страницы, на которой был код Яндекс.Метрики, а не той, ссылку на которую выслали на мыло с ключом авторизации. Т.е. если по ссылке из письма будет происходить переадресация на другую страницу, то ничего плохого не случится. Более того, если бы пользователь нашёл эту ссылку у себя в профиле, будучи авторизованным по обычной связке логин + пароль, это бы ничего не изменило.
Описанная по ссылке проблема в данном случае не актуальна. robots.txt нужно правильно составлять.

[Александр]

ИМХО robots.txt намного упрощает работу хакерам

Answer 5

[Антон]

МойКруг такие ссылки в письмах использует, это к части вопроса про пример.

Answer 6

[1nd1go]

В ссылке скорее всего содержится одноразовый пароль, который перестает работать после захода по ссылке. Просто потом кидается кука длинная, что ты авторизован.

Facebook так не пускает кстати, проверил только что в неавторизованном браузере.

Answer 7

[Ивор Барханский]

Моё решение возможно топорное, но я в базу пользователей добавил ячейку для хранения хэша, а в самом скрипте прописал — при каждом удачном логине обнуление ячейки.
В нормальном состоянии поле пустует, в особенном — хэш удаляется после удачного логина.

Ну и обработчик ссылки — само собой.