LinkedIn 电子邮件验证的安全性

【问题标题】:Security with LinkedIn email verificationLinkedIn 电子邮件验证的安全性
【发布时间】:2018-02-13 18:59:43
【问题描述】:

据我所知,当我们注册新的 LinkedIn 帐户时,我们不需要在使用它之前验证电子邮件。

我们的平台有一项功能,允许用户使用 LinkedIn 帐户登录。

有用户 A 使用电子邮件:userA@domain.com。用户 A,已经使用该电子邮件注册了我的平台。

另一个用户使用电子邮件 userA@domain.com 注册了一个新的 LinkedIn 帐户(此电子邮件未在 LinkedIn 中使用,也未通过电子邮件验证)。然后他进入我们的平台并通过他的 LinkedIn 电子邮件 userA@domain.com 登录。然后他就可以看到用户A的所有信息了。

我应该怎么做才能防止这种情况发生?

提前致谢

【问题讨论】:

  • 那么您需要知道如何识别此类未经确认的帐户关联吗?

标签: single-sign-on linkedin linkedin-api


【解决方案1】:

阻止登录尝试,警告用户,将帐户标记为待验证,并发送包含验证码的电子邮件。如果他们确实是同一用户,请将您为该帐户存储的所有数据迁移到 LinkedIn 提供商。

另外,想想您在验证电子邮件中传达的内容。如果用户 #1 是假的,登录失败和验证电子邮件将首先向用户 #2 表明其他人正在使用他们的电子邮件地址。

您可能会变得更复杂——给他们一个链接来验证和迁移帐户,或者给他们一个链接来表明用户 #1 不是他们,在这种情况下,您可能需要冻结或调查用户 #1 进一步(可能查看 IP 地址等)。

身份验证非常复杂!

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2015-07-10
    • 1970-01-01
    • 1970-01-01
    • 2014-10-17
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-06-12
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode