it-swarm.com.de

Der beste Weg, um die Registrierung für eine Web-App nur mit Einladung zuzulassen?

Ich bin gerade dabei, eine Web-App zu planen, die Menschen, die über einer bestimmten Gehaltsschwelle verdienen, einen Beratungsservice bietet. Der Gedanke ist, dass die neuen Benutzer über ihre Banken beschafft werden.

Bisher sehe ich zwei verschiedene Möglichkeiten, die Anmeldung bei der App zuzulassen.

  1. Stapel von Einweg-Zufallscodes (10-stelliges Hex oder ähnliches) werden den Banken auf gedruckten Karten oder ähnlichem ausgehändigt, um sie an berechtigte Benutzer weiterzugeben. Der Benutzer gibt dann den Code auf der Zielseite der Site ein, der diesen anhand einer Datenbank mit gültigen Codes nachschlägt und den Zugriff ermöglicht, falls dieser gültig ist.

  2. Ich denke, die obige Option wird gut funktionieren, aber dann dachte ich: "Nun, eine E-Mail-Adresse ist eine eindeutige Kennung, die wir alle haben." Wenn die Bank die berechtigten Benutzer per E-Mail an die App senden könnte, wären die Karten (und die damit verbundenen Druckkosten usw.) nicht mehr erforderlich. Das einzige Problem hierbei ist das Erstellen einer separaten API (wenn auch eine einfache), die die Banken verwenden und für jeden Benutzer Anmeldungen erstellen können.

Ich würde mich sehr über einige Meinungen zu den beiden oben genannten Optionen freuen, die eine bessere Benutzeroberfläche und einen vernünftigeren Ansatz bieten. Noch besser, wenn jemand eine Lösung dafür hat, die mir nicht in den Sinn gekommen ist, wäre das auch großartig.

4
Matt Harrison

Jede Methode hat Vor- und Nachteile.

  1. Wie Ben betont, könnten die Einwegcodes an Personen verkauft (oder verschenkt) werden, die sich nicht qualifizieren.

  2. Die Verwendung der E-Mail-Adresse des Kunden kann als aufdringlich angesehen werden. Die Bank müsste den Kunden um Erlaubnis bitten, ihn für den Service anzumelden - schließlich geben sie die Kundendaten (ihre E-Mail) an eine 3 weiterrd Party (du).

Ein besserer Ansatz könnte darin bestehen, der Bank zu ermöglichen, dem Kunden eine E-Mail mit einem Code zu senden, der aus der E-Mail-Adresse des Kunden generiert wird. Sie speichern die E-Mail-Adresse jedoch nicht. Verwenden Sie grundsätzlich einen Passwort-Hashing-Algorithmus. Sie können dann die E-Mail-Adresse verwenden, mit der sich der Kunde anmeldet, um den Code neu zu generieren und zu überprüfen, ob es sich um dieselbe Person handelt.

4
ChrisF