Login otomatis dari email pelanggan

8

Saya sedang mempertimbangkan untuk membangun fitur masuk otomatis untuk ekstensi yang sedang saya kerjakan, di mana pelanggan yang mengklik tautan dalam email akan secara otomatis masuk ke akun mereka.

Ini akan sangat membantu terutama ketika mengirim ke pelanggan yang lebih tua karena ada perubahan besar yang mereka butuhkan untuk menekan kata sandi yang dilupakan untuk login dan melakukan pembelian.

Tetapi di sisi lain, itu akan membuka beberapa kerentanan yang saya tidak terlalu bersemangat. Jika pelanggan meneruskan email ke teman mereka dan teman mereka mengklik tautan, mereka juga akan masuk sebagai teman mereka.

Memang Anda bisa mencoba mendidik pelanggan Anda untuk tidak meneruskan email-email itu, tetapi itu mungkin merupakan perjuangan berat. Gagasan bahwa meneruskan email pemasaran ke teman akan memungkinkan mereka untuk masuk ke akun Anda tanpa izin bukanlah sesuatu yang akan digunakan orang dengan cepat.

Pikiran?

PEMBARUAN: Hanya memperhatikan bahwa Quora melakukan autologin dari email pemberitahuan komentarnya.

email kalenjordan
sumber

Jawaban:

11
  1. Simpan alamat IP dan / atau agen pengguna yang digunakan ketika pelanggan terakhir melakukan pemesanan atau mengunjungi dan membuat tautan hanya berfungsi dengan alamat IP atau agen pengguna tersebut.
  2. Jadikan tautan hanya berfungsi satu kali.
  3. Memerlukan beberapa otentikasi perantara yang sangat mudah seperti "Untuk mengonfirmasi bahwa Anda adalah Jane Doe, silakan masukkan kode pos Anda:"
Kolin
sumber
Saya berpikir lebih banyak tentang ini. Saya berpikir bahwa jika ada orang yang memiliki insentif untuk membangun fitur semacam ini, itu mungkin Facebook atau Twitter. Tetapi mereka tidak melakukan ini, bukan?
kalenjordan
4. kemungkinan besar bahwa pelanggan tidak mengubah peramban mereka - menyimpan nilai cookie yang Anda otentikasi selain tautan.
Kristof di Fooman
1
Jika pengguna memiliki telepon dan / atau menggunakan situs dari perpustakaan, ada kemungkinan agen pengguna akan berubah. Hal yang sama berlaku untuk IP. Orang-orang, pada kenyataannya, melakukan hal-hal di desktop mereka, kemudian menindaklanjutinya dengan perangkat seluler mereka. Tambahkan ke ini keterlambatan email pemasaran ... dan Anda memiliki kap kemungkinan lebih tinggi bahwa beberapa perangkat atau IP sedang bermain.
davidalger
12

Saya rasa saya tidak akan merekomendasikan fitur seperti itu ...

Tetapi bagaimanapun, jika Anda ingin membangun fitur ini, pertimbangkan poin-poin ini:

  • gunakan login berbasis token, seperti http: //shop.tld/? autologintoken = AABBCCDD

  • jika ini hanya untuk pertama kalinya pelanggan log dalam batas token otentikasi untuk satu login

  • buat token yang unik per pelanggan, dan juga (sangat penting) tidak didasarkan pada nama pengguna / kata sandi / alamat / nama / email / apa pun. Mage_Core_Helper_Data :: getRandomString dapat membantu Anda. Panjang 32 harus menjadi minimum saya katakan. Jangan gunakan sesuatu seperti md5 (time ())!

  • ubah token setiap kali pelanggan mengubah kata sandinya

  • batasi akses akun untuk pelanggan yang masuk menggunakan token, mis. biarkan mereka memasukkan kata sandi mereka jika mereka ingin mengubah ke alamat email atau mengakses nomor CC. Ini bisa membantu sedikit untuk meningkatkan keamanan

  • jangan (!!!) mengandalkan browser, cookie, IP atau yang lainnya

otak
sumber
1
Berharap saya bisa memberi lebih dari +1 sederhana untuk yang satu ini. :)
davidalger
1
Pada versi Magento sebelum 1.9 getRandomString sangat lemah karena mt_srand diunggulkan dengan hanya 1 juta nilai yang mungkin (tidak peduli berapa panjang string, masih hanya 1 juta hasil yang mungkin).
ColinM