Sur notre site, nous fournissons aux utilisateurs une simulation basée sur leurs informations privées (données via un formulaire). Nous aimerions leur permettre de revenir sur leurs résultats de simulation plus tard, mais sans les forcer à créer un compte login / mot de passe.
Nous avons pensé à leur envoyer un email avec un lien, à partir duquel ils pourraient récupérer leurs résultats. Mais, naturellement, nous devons sécuriser cette URL, car les données privées sont en jeu.
Nous avons donc l'intention de transmettre un jeton (comme une combinaison de 40 caractères de lettres et de chiffres, ou un hachage MD5) dans l'URL et d'utiliser SSL.
Enfin, ils recevraient un e-mail comme celui-ci:
Bonjour,
récupérez vos résultats sur https://www.example.com/load_simulation?token=uZVTLBCWcw33RIhvnbxTKxTxM2rKJ7YJrwyUXhXn
Qu'est-ce que tu en penses? Est-ce suffisamment sécurisé? Que me conseilleriez-vous pour la génération de jetons? Qu'en est-il de la transmission de paramètres d'URL dans une requête https?