基于URL的验证链接

有哪些好的建议或资源可以帮助我确保单击基于URL的身份验证？

本质上,情况是第三方系统通过浏览器接受HTTPS请求,您可以在其中提供身份验证信息(un,pw,authkey等...).然后,该服务在验证提供的凭证时将允许或拒绝登录访问.关键是,如果有人点击该链接,他们将自动被授予访问该第三方系统的权限.

目前,整个过程并没有太多的安全性(这不是一个大问题,因为产品尚未投入生产),第三方愿意进行一些修改以保证这一点. .

我已经确定我需要散列信息,甚至可能通过POST提交它以防止它在浏览器历史记录中显示信息.但我想对你们如何处理这样的事情提出一点意见.

[编辑:请求将继续通过HTTPS发送.我还修改了以前用过的HTTP的HTTP]

不要考虑"确保这一点".它要么是从头开始安全的,要么是它会让你付出沉重的代价.

查看HTTP摘要式身份验证.它简单,可靠,在大多数情况下运行良好.

查看OWASP.org前10个漏洞.请务必了解并解决每一个问题.