autologowanie przez klucz w url'u? Opcje

[czachor]

Witam,

jak waszym zdaniem wygląda pomysł autologowania przy pomocy unikalnego parametru w url'u? Przykład zastosowania to newsletter wysyłany na e-maila: w treści wiadomości są linki z unikalnym kluczem dla każdego usera (np. ...&key=uxsNesfh2kMsl12ao). User klika sobie na link, system rozpoznaje 'key' jako właściwy dla użytkownika X i automatycznie loguje go na stronie.

Moim zdaniem z punktu bezpieczeństwa to kiepski pomysł - wystarczy, że prześle dalej e-maila ("heej, zobacz jakiego ciekawego newslettera dostałem") i ktoś ma dostęp do jego konta.

Macie jakieś dobre rozwiązania dla takich sytuacji (jeśli w ogóle jest jakieś)? Oczywiście kliknięcie "zapamiętaj mnie" odpada, bo chodzi o autologowanie bez cookie, wpisywania loginu, hasła...

[Pilsener]

Jak będzie chciał kliknąć jeszcze raz to już nie wyświetli, pytania także są bez sensu. Rozwiązanie dla mnie jest proste i dość oczywiste: wysyłamy userowi klucz w url a gdy kliknie w niego to klucz deaktywujemy i zastępujemy ciachem. Oczywiście należy przesłać ostrzeżenie, że jest to wiadomość tylko dla niego i po wysłaniu jej komu innemu nie będzie już mógł jej odczytać. Jak user chce sam sobie zaszkodzić to potrzebny mu lekarz a nie programista. Oczywiście warto także dodać określony czas ważności takiego klucza w mailu, powiedzmy 24 godziny.