有没有办法获取那个点击了outlook链接的人的电子邮件地址？

Question

我开发了一个应用程序，在这个应用程序中，所有的组织过程都将在线处理。有一些进程是手动运行的，需要时间，现在它将在网上批准或不批准。

假设有一份文件将被HR ---> ADMIN ---> CEO.批准

现在，当某个人启动一个请求应用程序时，将两个链接发送到HR管理器，后者是批准的或不批准的，HR可以通过单击这些链接来执行他们的操作。

如果人力资源经理将此链接发送给其他人，则会发生什么情况，因此，该人员也可以批准或不批准该流程，尽管他不是合适的人选。

我可以通过在这两个链接上实现身份验证过程来阻止它，而不是每个权威机构都必须在应用程序中登录。我不想要的。

有任何方法，我可以选择的人的电子邮件身份谁点击该链接，这样我可以比较电子邮件地址在后端？

​

​

Answer 1

在我看来，您有三种可能的方法来做到这一点：

1:实施身份验证过程

在我看来，这是最好的方法，因为你可以确定应该批准这一过程的人是实际批准的人。

这种方法的缺点是用户将不得不登录，但您可以以这样一种方式实现它，即他们很少需要这样做，例如，他们可以一个月或更长时间登录。

2:使用带有一次令牌的链接

这基本上就是你提到的欺骗的方法，即某人可以转发电子邮件，而其他人则可以批准它。

在你的案例中，唯一可行的方法就是从上到下强制执行，就像管理部门如果把这样的电子邮件发送给其他人，就会受到惩罚。但这很少是一个好策略，而且很难执行。

3:通过回复电子邮件批准和不批准

我认为这种方法可能是最接近您正在寻找的，但作为一个免责声明，我从来没有测试过像这样的东西。

您可以以这样的方式设置链接，即单击链接将打开一个新的邮件屏幕，并填充特定内容，例如，您可以填充要发送邮件的主题和地址。

示例链接：<a href="mailto:approvedisapprove@system.com?Subject=Approve%20%5BIDNumberHere%5D&body=UniqueID%3D123456" target="_top">Approve</a>

然后，在您正在创建的系统中，您必须监视该邮箱，然后解析收到的任何电子邮件，使用from地址验证正确的人是否发送了电子邮件。

这种方法的一个重要特点是，电子邮件中的from地址很容易被欺骗，所以如果您想采用这种方法，我建议您至少在电子邮件中添加某种随机令牌，以便在后端进行验证。

即使有了唯一的标记，也存在另一个攻击矢量，尽管它需要一些工作。假设系统向Alice发送了一封邮件，因为她需要批准或不批准某件事情，她会将邮件转发给Bob。Bob不能点击链接并按原样发送电子邮件，因为系统会看到它来自他的电子邮件地址，但是Bob可以做的是点击链接来查看主题应该是什么，然后使用一个欺骗站点来欺骗Alice的电子邮件。然后，系统就会把一切都看得井井有条，因为它看起来像是爱丽丝发来的电子邮件。

示例欺骗站点：https://emkei.cz/