如何为新用户帐户创建临时 link?
How to create temporary link for the new user account?
我创建了需要 username 和 password 进行用户身份验证的单页应用程序。系统中的每个帐户都是由管理员创建的。用户没有单击 link 并创建帐户的选项。在研究并寻找最佳解决方案之后,我首先改变的是用户恢复密码的方式。这是关于该逻辑如何工作的简短模式。用户首先必须单击 link Forgot Password 输入他们的电子邮件并提交表格。他们将看到消息:
An email has been sent to example@gmail.com with further instructions.
将执行此过程的函数如下所示:
cfstoredproc( procedure="CheckEmail", datasource=dsn ) {
cfprocparam( maxlength=80, null=!len(trim(arguments.email)), cfsqltype="cf_sql_varchar", dbvarname="@Email", value=trim(arguments.email) );
cfprocresult( name="EmailResult" );
}
if( EmailResult.recordCount EQ 1) {
// Generate new token
local.newToken = createUUID();
// Build URL with token parameter and add hashed value
local.theUrl = "https://example.com/Reset.cfm?token=" & local.newToken;
// Set expiration time (30 minutes)
local.Expires = DateAdd("n", 30, now());
cfstoredproc( procedure="SaveToken", datasource=dsn ) {
cfprocparam( maxlength=80, null=!len(trim(arguments.email)), cfsqltype="cf_sql_varchar", dbvarname="@Email", value=trim(arguments.email) );
cfprocparam( maxlength=35, null=!len(trim(local.newToken)), cfsqltype="cf_sql_varchar", dbvarname="@Token", value=trim(local.newToken) );
cfprocparam( null=!len(trim(local.Expires)), cfsqltype="cf_sql_timestamp", dbvarname="@Expires", value=trim(local.Expires) );
cfprocresult( name="TokenResult" );
}
if ( len(TokenResult.RecID) ) {
savecontent variable="mailBody"{
writeOutput('<br>Here is your password reset link: <a href="' & theUrl & '">Click here</a> as soon as possible and change your password.<br>' );
}
local.mail = new mail();
// Set it's properties
local.mail.setSubject("Example Application");
local.mail.setTo(arguments.email);
local.mail.setFrom("noreply@example.com");
local.mail.setType("html");
// Send the email
local.mail.send(body = mailBody);
local.fnResults = {status : "200", message : "An email has been sent to <b>" & arguments.email & "</b> with further instructions."};
} else {
local.fnResults = {status : "400", message : "Error! Something went wrong."};
}
}else{
savecontent variable="mailBody"{
writeOutput('<br>We recieved a password reset request. The email you have provided does not exist in our system.<br>');
}
local.mail = new mail();
// Set it's properties
local.mail.setSubject("Example Application");
local.mail.setTo(arguments.email);
local.mail.setFrom("noreply@example.com");
local.mail.setType("html");
// Send the email
local.mail.send(body = mailBody);
local.fnResults = {status : "200", message : "An email has been sent to <b>" & arguments.email & "</b> with further instructions."};
}
然后下一步是如果电子邮件存在并且用户单击 link 我将显示他们可以输入新密码的表单,或者他们将看到消息 This link has expired or does not exist anymore.。这是 Reset.cfm 页面的示例:
if (structKeyExists(url,"token") && isValid("uuid", url.token) && len(trim(url.token)) == 35){
cfstoredproc( procedure="CheckToken", datasource=dsn ) {
cfprocparam( maxlength=35, null=!len(trim(url.token)), cfsqltype="cf_sql_varchar", dbvarname="@Token", value=trim(url.token) );
cfprocresult( name="TokenResult" );
}
if( TokenResult.recordCount == 1 ){ //If token is valid (not expired) show the form.
<form name="frmRecovery" id="frmRecovery" autocomplete="off">
<input type="hidden" name="token" value="<cfoutput>#url.token#</cfoutput>">
<div class="form-group">
<div class="alert alert-info"><strong>Info!</strong> After saving your changes, you will be taken back to the login screen. Log into the system with the account credentials you have just saved.</div>
</div>
<div class="form-group">
<label class="control-label" for="password"><span class="label label-primary">Password</span></label>
<input type="password" class="form-control" name="frmRecovery_password" id="frmRecovery_password" placeholder="Enter Password" maxlength="64" required>
</div>
<div class="form-group">
<button type="submit" class="btn btn-primary">Submit</button>
</div>
<div class="form-group">
<div class="alert message-submit"></div>
</div>
</form>
}else{
<div class="alert alert-warning">
<strong>Warrning!</strong> This link has expired or does not exist anymore! </div>
}
}
如果用户被引导到表单输入密码,我将保存新密码并删除令牌。下一步是将他们引导至登录页面,他们可以输入凭据并登录。所以我的问题是当管理员创建新帐户时我可以使用类似的方法吗?管理员需要输入 first、last name、username 等。然后单击按钮 Send Email 将转发 username 和临时 link新用户可以输入密码并登录应用程序。之前使用的逻辑是生成临时密码,用户登录然后必须重置密码。我想知道我提出的解决方案是否有任何安全风险,或者是否与使用临时密码的解决方案一样好?
您可以使用现有流程,前提是您还有一个用于添加用户信息的流程,但此处没有。此外,您没有指定管理员会提供一封电子邮件,这显然对发送令牌很重要(除非用户名是电子邮件)。
为了提高安全性,根据您想要的强化/安全程度,一些建议:
GUID/UUID 的目的是独一无二的,但当然不是为了不可猜测。他们的目标是避免碰撞,而不是预测。如果你输出一组由冷聚变生成的 UUID,你可以在某种程度上猜测一些可能的组合,以便假装一个重置过程,直到你找到一个 - 假设你有一个有效的 UUID,在几百万左右(非常小的)。
这就是这种攻击的工作方式 - 您将为两个用户同时发送两个重置请求。一个是已知的(假设一名员工拥有电子邮件但权限较低),另一个是未知的(假设是一位您无权访问其电子邮件的经理)。
你会为员工(攻击者)创建 "seed" 或已知的 UUID,与为经理(受害者)创建重置密钥的时间大致相同。然后,您可以根据已知的 UUID 为该 UUID 块创建重置尝试。这样做不需要太多的处理能力或时间。
如果您改为创建 UUID 的复合字符串与随机生成/存储的盐相结合(这将是您希望为用户记录存储的附加字段。)-这将是最强大的措施,因为它将是唯一的,无法用已知密钥猜到。
另一个是限制/限制对重置过程的请求(即 500 毫秒的延迟等,用户看不到任何明显的差异,但严重限制了自动攻击的有效性)。
此外,您可以通过电子邮件或用户存储尝试,并锁定用户,以免他们尝试过多的重置请求并需要人工干预/更仔细的替代解锁路径。
当然,您的密码也应该使用随机盐进行哈希处理。
不言而喻,要求强密码更安全。
我创建了需要 username 和 password 进行用户身份验证的单页应用程序。系统中的每个帐户都是由管理员创建的。用户没有单击 link 并创建帐户的选项。在研究并寻找最佳解决方案之后,我首先改变的是用户恢复密码的方式。这是关于该逻辑如何工作的简短模式。用户首先必须单击 link Forgot Password 输入他们的电子邮件并提交表格。他们将看到消息:
An email has been sent to example@gmail.com with further instructions.
将执行此过程的函数如下所示:
cfstoredproc( procedure="CheckEmail", datasource=dsn ) {
cfprocparam( maxlength=80, null=!len(trim(arguments.email)), cfsqltype="cf_sql_varchar", dbvarname="@Email", value=trim(arguments.email) );
cfprocresult( name="EmailResult" );
}
if( EmailResult.recordCount EQ 1) {
// Generate new token
local.newToken = createUUID();
// Build URL with token parameter and add hashed value
local.theUrl = "https://example.com/Reset.cfm?token=" & local.newToken;
// Set expiration time (30 minutes)
local.Expires = DateAdd("n", 30, now());
cfstoredproc( procedure="SaveToken", datasource=dsn ) {
cfprocparam( maxlength=80, null=!len(trim(arguments.email)), cfsqltype="cf_sql_varchar", dbvarname="@Email", value=trim(arguments.email) );
cfprocparam( maxlength=35, null=!len(trim(local.newToken)), cfsqltype="cf_sql_varchar", dbvarname="@Token", value=trim(local.newToken) );
cfprocparam( null=!len(trim(local.Expires)), cfsqltype="cf_sql_timestamp", dbvarname="@Expires", value=trim(local.Expires) );
cfprocresult( name="TokenResult" );
}
if ( len(TokenResult.RecID) ) {
savecontent variable="mailBody"{
writeOutput('<br>Here is your password reset link: <a href="' & theUrl & '">Click here</a> as soon as possible and change your password.<br>' );
}
local.mail = new mail();
// Set it's properties
local.mail.setSubject("Example Application");
local.mail.setTo(arguments.email);
local.mail.setFrom("noreply@example.com");
local.mail.setType("html");
// Send the email
local.mail.send(body = mailBody);
local.fnResults = {status : "200", message : "An email has been sent to <b>" & arguments.email & "</b> with further instructions."};
} else {
local.fnResults = {status : "400", message : "Error! Something went wrong."};
}
}else{
savecontent variable="mailBody"{
writeOutput('<br>We recieved a password reset request. The email you have provided does not exist in our system.<br>');
}
local.mail = new mail();
// Set it's properties
local.mail.setSubject("Example Application");
local.mail.setTo(arguments.email);
local.mail.setFrom("noreply@example.com");
local.mail.setType("html");
// Send the email
local.mail.send(body = mailBody);
local.fnResults = {status : "200", message : "An email has been sent to <b>" & arguments.email & "</b> with further instructions."};
}
然后下一步是如果电子邮件存在并且用户单击 link 我将显示他们可以输入新密码的表单,或者他们将看到消息 This link has expired or does not exist anymore.。这是 Reset.cfm 页面的示例:
if (structKeyExists(url,"token") && isValid("uuid", url.token) && len(trim(url.token)) == 35){
cfstoredproc( procedure="CheckToken", datasource=dsn ) {
cfprocparam( maxlength=35, null=!len(trim(url.token)), cfsqltype="cf_sql_varchar", dbvarname="@Token", value=trim(url.token) );
cfprocresult( name="TokenResult" );
}
if( TokenResult.recordCount == 1 ){ //If token is valid (not expired) show the form.
<form name="frmRecovery" id="frmRecovery" autocomplete="off">
<input type="hidden" name="token" value="<cfoutput>#url.token#</cfoutput>">
<div class="form-group">
<div class="alert alert-info"><strong>Info!</strong> After saving your changes, you will be taken back to the login screen. Log into the system with the account credentials you have just saved.</div>
</div>
<div class="form-group">
<label class="control-label" for="password"><span class="label label-primary">Password</span></label>
<input type="password" class="form-control" name="frmRecovery_password" id="frmRecovery_password" placeholder="Enter Password" maxlength="64" required>
</div>
<div class="form-group">
<button type="submit" class="btn btn-primary">Submit</button>
</div>
<div class="form-group">
<div class="alert message-submit"></div>
</div>
</form>
}else{
<div class="alert alert-warning">
<strong>Warrning!</strong> This link has expired or does not exist anymore! </div>
}
}
如果用户被引导到表单输入密码,我将保存新密码并删除令牌。下一步是将他们引导至登录页面,他们可以输入凭据并登录。所以我的问题是当管理员创建新帐户时我可以使用类似的方法吗?管理员需要输入 first、last name、username 等。然后单击按钮 Send Email 将转发 username 和临时 link新用户可以输入密码并登录应用程序。之前使用的逻辑是生成临时密码,用户登录然后必须重置密码。我想知道我提出的解决方案是否有任何安全风险,或者是否与使用临时密码的解决方案一样好?
您可以使用现有流程,前提是您还有一个用于添加用户信息的流程,但此处没有。此外,您没有指定管理员会提供一封电子邮件,这显然对发送令牌很重要(除非用户名是电子邮件)。
为了提高安全性,根据您想要的强化/安全程度,一些建议:
GUID/UUID 的目的是独一无二的,但当然不是为了不可猜测。他们的目标是避免碰撞,而不是预测。如果你输出一组由冷聚变生成的 UUID,你可以在某种程度上猜测一些可能的组合,以便假装一个重置过程,直到你找到一个 - 假设你有一个有效的 UUID,在几百万左右(非常小的)。
这就是这种攻击的工作方式 - 您将为两个用户同时发送两个重置请求。一个是已知的(假设一名员工拥有电子邮件但权限较低),另一个是未知的(假设是一位您无权访问其电子邮件的经理)。
你会为员工(攻击者)创建 "seed" 或已知的 UUID,与为经理(受害者)创建重置密钥的时间大致相同。然后,您可以根据已知的 UUID 为该 UUID 块创建重置尝试。这样做不需要太多的处理能力或时间。
如果您改为创建 UUID 的复合字符串与随机生成/存储的盐相结合(这将是您希望为用户记录存储的附加字段。)-这将是最强大的措施,因为它将是唯一的,无法用已知密钥猜到。
另一个是限制/限制对重置过程的请求(即 500 毫秒的延迟等,用户看不到任何明显的差异,但严重限制了自动攻击的有效性)。
此外,您可以通过电子邮件或用户存储尝试,并锁定用户,以免他们尝试过多的重置请求并需要人工干预/更仔细的替代解锁路径。
当然,您的密码也应该使用随机盐进行哈希处理。
不言而喻,要求强密码更安全。