Владимир Прокошев
Маловероятно, что пользователь станет пересылать письмо с восстановлением доступа. Но вот, например, приветственное письмо или письма на статьи, в которых ссылки на них с token для автологина, могут и переслать. Может быть можно ограничить по времени token для ссылок данного письма и тогда будет хоть какая-то защита?
Здравствуйте, Павел! Спасибо большое за развернутую статью!
У меня вопрос по поводу автологина. Вы пишете: "Сам факт доступа к почте с возможностью последующей смены пароля упраздняет необходимость введения дополнительных мер безопасности в виде логина."
Что если пользователь переслал сообщение другу? В таком случае друг, перейдя по ссылке автоматически авторизуется. Можно использовать временный ключ, но что, если владелец аккаунта не перешел по ссылкам, а просто перенаправил сообщение другу? Как можно решить проблему с автологином в этом случае?
Невнимательно прочитал заголовок раздела. Извините за странные вопросы.
Кроме того, технически нет возможности отследить, из пересланного ли письма перешёл пользователь.Это понятно. Спасибо!