我对基于出生日期的身份验证系统的实施有疑问。我正在使用 Django,但我认为这个问题可以概括。
用例是服务器已经知道用户的两件事,而无需用户创建帐户:唯一分配给他们的代码以及他们的出生日期。我想使用这些东西的组合来验证他们的身份并显示专门属于他们的敏感信息。
我正在尝试了解做到这一点的最佳方法。由于用户不会经常使用这个网站,我不希望他们创建帐户。
目前我的思考过程是:用户使用网址中的唯一令牌打开网页并输入出生日期。服务器验证令牌和出生日期并通知客户端。在向服务器发出的后续请求中,包含出生日期作为标头或数据字段,并在后端执行相同的验证。
这行得通吗?有没有更好的实施模式?
您应该查看 Django Sessions 并将这些信息存储在那里。
另一种方法可能是使用自定义用户模型,其中令牌作为用户名,出生日期作为密码。