2
我正在构建一个多租户应用程序。当用户创建帐户时,他们需要输入电子邮件+密码。登录后,该用户(“管理员”)可以将其他用户添加到他们的帐户。我希望能够添加简单的用户 - 只需要一个电子邮件地址。下列过程对于添加用户是否安全?多租户,这个过程是否安全添加用户?
- 管理员去添加用户形式
- 管理员进入用户的电子邮件地址,并点击提交
- 电子邮件+独特registration_key + registration_expiration被输入到用户模型
- 新用户发送一封电子邮件,链接注册(如:http://account.myapp.com/registration/o4iwerl23msl424keree)
- 新用户打开注册表并输入所需的密码+ password_confirmation字段
- 如果URL中的registration_key匹配on e,在注册期满之前,用户可以注册
您会推荐一种替代方案吗?如果这是安全的,我如何绕过此过程的步骤2 & 3中所需的密码+ password_confirmation字段?
您使用的是什么认证系统? – 2012-07-10 16:19:50
没有认证系统 - 滚动我自己的。 – hugo 2012-07-10 16:36:12
@JesseWolgamott:我编辑了我的问题并添加了第6步。 – hugo 2012-07-10 16:44:48