<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Den tis 29 sep. 2020 05:29Henry Baker <<a href="mailto:hbaker1@pipeline.com">hbaker1@pipeline.com</a>> skrev:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">What I will describe is a standard problem in ecommerce today.<br>
<br>
A company has a web site, which customers have to 'log into'<br>
in order to view & purchase products.<br>
<br>
The company may also have a smartphone 'app' which provides<br>
equivalent capabilities for viewing & purchasing products.<br>
<br>
Nowadays, companies also have 2FA, which sometimes requires<br>
that one not only log into the website & provide a password,<br>
but also respond to an email or a text message sent to an<br>
email address or a smartphone.<br>
<br>
So, the company also mails out special promotions for its<br>
better customers to their email addresses (most likely<br>
the same ones that they utilize for 2FA).  Clearly, if a<br>
customer receives the email on their 2FA account, then they<br>
are already authenticated. So a link in that email should<br>
take them to an *already-logged in* web page.  It is a very<br>
irritating hassle for such a link to require that the<br>
customer log in again.<br>
<br>
But companies don't want these links to work if this customer<br>
emails these links to his/her buddies.  Aside from them not<br>
being preferred customers of the company, these buddies would<br>
also -- in effect -- be logging in as the original email<br>
recipient, and could conceivably buy products which would<br>
be charged to the original email recipient.<br>
<br>
Now most smartphone 'apps' are considered 'personal', and<br>
many/most don't require logging in when they are utilized.<br>
So such an emailed link would prefer to open the smartphone<br>
app rather than a web page in the user's preferred browser.<br>
But we still have the same problem if this link activates<br>
the same 'app' on one of the buddies' smartphones.<br>
<br>
So how can the company make a 'link' that only operates for<br>
the original recipient of the email, and not for anyone else<br>
who somehow gains access to this link?<br>
<br>
Are there any 'standard'/'preferred' solutions to this problem?<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto"><span style="font-family:sans-serif">Don't make it an auto-login link, instead make it equivalent to a 2FA token that requires the user to *already* have an active user session (account session cookies) on the same browser where the link is opened. </span><div dir="auto" style="font-family:sans-serif"><br></div><div dir="auto" style="font-family:sans-serif">If they're not logged in then the link may suggest that they log in with that associated account, but it would otherwise be an unauthenticated session. <br><div dir="auto"><div dir="auto"><br></div><div dir="auto">You can even put restrictions on the actions that can be done under such an "unprompted" 2FA-like token, such as being able to open your wishlist, etc, but not to complete a new order without additional 2FA. </div></div></div></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>