为了让用户体验更方便,我们实现了一项功能,允许用户在单击通过电子邮件收到的链接时自动登录。 过去,他必须点击链接,然后输入密码。通过在链接中提供特殊的安全令牌,我们现在可以自动登录用户,而无需输入密码。
我们启用此功能几天后,内部页面(只能通过密码或特殊电子邮件链接访问)出现在谷歌搜索结果中。我们使用 Gmail 作为电子邮件提供商,用于从我们的系统发送电子邮件。
我对此行为的唯一解释是,谷歌正在抓取电子邮件中的链接。如果这些是“私人”链接,这对他们来说不太好。
是否有一种安全的方法仍然允许用户通过电子邮件中收到的特殊链接无需密码即可登录,而谷歌无法抓取内部页面?
所以,问题在于该链接是一把对任何人都有效的神奇钥匙。想必它里面有一个很长的秘密(我使用了一个九位数的数字以及我的用户名——应该可以做到这一点)。我考虑过图书馆的下一个人,以及偷窃或“借用”笔记本电脑,但没有考虑电子邮件提供商的窥探。我希望你的想法是错的,但应该有一个解决方案。
当您发送然后与魔术键链接时,您还设置了一个cookie(或本地存储项),我们将其称为第二号魔术键。然后,如果谷歌机器人爬虫尝试使用您的链接,它将无法工作,因为您的服务器希望同时看到两个魔法钥匙来解锁王国。唯一的缺点是用户在不同的浏览器/设备上单击链接,然后您只需解释并让 xer 实时获取另一个链接。