我的老板强迫我在通过身份验证发送的电子邮件中建立指向我们网站的所有链接。明确地说,他希望每个链接都具有一个永不过期的令牌,只要您单击它,就可以对您进行身份验证,即使您以前已经访问过它也是如此。这些不是1个使用令牌的链接或魔术链接,它们会在您的浏览器中设置随机数以确认它是同一位用户,要求单击该链接。
出于我认为明显的安全原因,我反复告诉他这是一个可怕的想法,但是他似乎无法理解。
他的主要论据是,如果有人可以访问您的电子邮件帐户,那么您无论如何都会被搞砸……而我正努力予以驳斥。尽管有所有最佳实践和良好意图,但一次性密码重置链接仍然无法保护您作为用户的身份,即使恶意者可以访问您的电子邮件帐户并请求密码重置链接。
因此,按照他的逻辑,如果所有链接都可以对您进行永久身份验证,那么它的安全性同样重要。我心里知道他错了,但我一直在努力寻找词汇表述以使他信服。拜托,有人可以帮我解决一个不是特别技术的人的问题吗?