Eu estava pensando em criar um recurso de login automático para uma extensão em que estou trabalhando, em que um cliente que clicar em um link em um e-mail será automaticamente conectado à sua conta.
Isso seria realmente útil, especialmente ao enviar para clientes mais antigos, pois há uma grande alteração de que eles precisariam acessar a senha esquecida para fazer login e fazer uma compra.
Mas, por outro lado, isso abriria algumas vulnerabilidades das quais não estou muito animado. Se um cliente encaminhar o email para o amigo e o amigo clicar nos links, ele também será conectado como amigo.
Você pode tentar educar seus clientes para não encaminhar esses e-mails, mas isso pode ser uma batalha difícil. A ideia de que o encaminhamento de um email de marketing a um amigo permitiria que eles acessassem sua conta sem autorização não é algo que as pessoas se acostumarão rapidamente.
Pensamentos?
ATUALIZAÇÃO: Acabei de perceber que o Quora faz um logon automático a partir dos emails de notificação de comentários.
Eu acho que não recomendaria esse recurso ...
De qualquer maneira, se você deseja criar esse recurso, considere estes pontos:
use um logon baseado em token, como http: //shop.tld/? autologintoken = AABBCCDD
se for apenas a primeira vez que o cliente fizer logon, limite o token de autenticação a um logon
torne o token exclusivo por cliente e também (muito importante) não se baseie no nome de usuário / senha / endereço / nome / email / qualquer que seja. Mage_Core_Helper_Data :: getRandomString pode ajudá-lo. Um comprimento de 32 deve ser o mínimo que eu diria. Não use algo como md5 (time ())!
altere o token toda vez que o cliente alterar sua senha
restringir o acesso à conta para clientes que efetuaram login usando o token, por exemplo, permita que eles insiram sua senha se quiserem mudar para endereço de email ou acessar números CC. Isso poderia ajudar um pouco a melhorar a segurança
(!!!) não confie em navegador, cookies, IP ou qualquer outra coisa
fonte