Tự động đăng nhập từ email của khách hàng

8

Tôi đang xem xét xây dựng tính năng đăng nhập tự động cho tiện ích mở rộng mà tôi đang làm việc, nơi khách hàng nhấp vào liên kết trong email sẽ được tự động đăng nhập vào tài khoản của họ.

Điều này sẽ thực sự hữu ích, đặc biệt là khi gửi cho khách hàng lớn tuổi vì có một sự thay đổi cao, họ sẽ cần nhấn mật khẩu đã quên để đăng nhập và mua hàng.

Nhưng mặt khác, nó sẽ mở ra một số lỗ hổng mà tôi không quá hào hứng. Nếu một khách hàng chuyển tiếp email đến bạn bè của họ và bạn của họ nhấp vào liên kết, họ cũng sẽ đăng nhập với tư cách là bạn của họ.

Cấp cho bạn có thể cố gắng giáo dục khách hàng của bạn để không chuyển tiếp những email đó, nhưng đó có thể là một trận chiến khó khăn. Ý tưởng chuyển tiếp email tiếp thị tới bạn bè sẽ cho phép họ đăng nhập vào tài khoản của bạn trái phép không phải là điều mọi người sẽ quen với việc nhanh chóng.

Suy nghĩ?

CẬP NHẬT: Chỉ cần lưu ý rằng Quora thực hiện tự động từ các email thông báo nhận xét.

email 
kalenjordan
nguồn

Câu trả lời:

11
  1. Lưu trữ địa chỉ IP và / hoặc tác nhân người dùng được sử dụng khi khách hàng cuối cùng đặt hàng hoặc truy cập và làm cho liên kết chỉ hoạt động với địa chỉ IP hoặc tác nhân người dùng đó.
  2. Làm cho liên kết chỉ hoạt động một lần.
  3. Yêu cầu một số xác thực trung gian thực sự dễ dàng như "Để xác nhận bạn là Jane Doe, vui lòng nhập mã zip của bạn:"
ColinM
nguồn
Tôi đã suy nghĩ thêm một chút về điều này. Tôi đã nghĩ rằng nếu bất cứ ai sẽ có động lực để xây dựng loại tính năng này, thì đó có thể là Facebook hoặc Twitter. Nhưng họ không làm điều này, phải không?
kalenjordan
4. rất có thể khách hàng sẽ không thay đổi trình duyệt của họ - lưu một giá trị cookie mà bạn xác thực cùng với liên kết.
Kristof tại Fooman
1
Nếu người dùng có điện thoại và / hoặc sử dụng trang web từ thư viện, rất có thể tác nhân người dùng sẽ thay đổi. IP cũng vậy. Trên thực tế, mọi người thường làm những thứ trên máy tính để bàn của họ, sau đó theo dõi nó trên thiết bị di động của họ. Thêm vào đó là sự chậm trễ của email tiếp thị, và bạn có khả năng cao hơn là nhiều thiết bị hoặc IP đang hoạt động.
davidalger
12

Tôi nghĩ rằng tôi sẽ không đề xuất một tính năng như vậy ...

Nhưng dù sao, nếu bạn muốn xây dựng tính năng này, hãy xem xét các điểm sau:

  • sử dụng thông tin đăng nhập dựa trên mã thông báo, như http: //shop.tld/? autologintoken = AABBCCDD

  • nếu đây chỉ là lần đầu tiên khách hàng đăng nhập giới hạn mã thông báo xác thực cho một lần đăng nhập

  • làm cho mã thông báo duy nhất cho mỗi khách hàng và cũng (rất quan trọng) không dựa trên tên người dùng / mật khẩu / địa chỉ / tên / email / bất cứ điều gì. Mage_Core_Helper_Data :: getRandomString có thể giúp bạn. Độ dài 32 nên là mức tối thiểu tôi muốn nói. Đừng sử dụng cái gì đó như md5 (time ())!

  • thay đổi mã thông báo mỗi khi khách hàng thay đổi mật khẩu của mình

  • hạn chế quyền truy cập tài khoản đối với khách hàng đã đăng nhập bằng mã thông báo, ví dụ: cho phép họ nhập mật khẩu nếu họ muốn thay đổi thành địa chỉ thư hoặc truy cập số CC. Điều này có thể giúp một chút để cải thiện bảo mật

  • không (!!!) dựa vào trình duyệt, cookie, IP hoặc cái gì khác

thebod
nguồn
1
Ước gì tôi có thể cho nhiều hơn +1 đơn giản trên cái này. :)
davidalger
1
Trên các phiên bản Magento trước 1.9 getRandomString cực kỳ yếu do mt_srand được gieo hạt chỉ với 1 triệu giá trị có thể (cho dù chuỗi dài nào, vẫn chỉ có 1 triệu kết quả có thể xảy ra).
ColinM
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.