Ho un'applicazione che invierà un promemoria SMS per l'utente che contiene un URL per accedere. Vorrei evitare che l'utente digiti username / password e lo acceda direttamente. Per questo ho intenzione di utilizzare un token di accesso e aggiungerlo all'url, ad esempio:
www.mydomain.com?token=JFPIENBFIOHGDFGP3423432
Ora dal momento che si tratta di un SMS, non posso nasconderlo dietro il tag "a". Quindi vorrei limitare la lunghezza del token il più possibile per non spaventare troppo gli utenti. Forse anche limitare i simboli solo a lettere maiuscole o qualcosa del genere o qualche altro modo di "abbellirlo".
Questo è un approccio corretto per farlo e se sì, allora quale sicurezza dovrebbe essere applicata al token. Per quanto posso vedere ho bisogno di questo:
- Genera il token utilizzando CSPRNG
- Assicurati che ci sia abbastanza entropia (la mia applicazione non si occupa di informazioni molto sensibili, quindi suppongo che i 32 bit dovrebbero essere sufficienti, forse anche meno come username / password è solo telefono / codice pin digitale)
- Assicurati che il token sia monouso e / o di breve durata (ad es. 24 ore)