Как передать секретный ключ на URL через QR-код?

Question

Я ищу безопасный способ передачи секретного ключа , когда пользователь сканирует QR-код и переходит на мой URL . Этот секретный ключ является ключом, который подключен к одному из моих продуктов (умный динамик). Если секретный ключ действителен, пользователю будет предложено войти в систему или зарегистрироваться, чтобы связать свою учетную запись с продуктом на моей веб-странице. Однако после моих исследований QR-коды передают только те данные, которые видны в URL. Это приводит к проблемам безопасности, даже если ключ зашифрован: проблема, когда пользователи вводят смежные значения, ключи сохраняются в истории браузера (это означает, что вредоносный код может пролистывать историю просмотров пользователя и извлекать пароли, токены и т. Д. c ). Они, вероятно, сохранены в журналах и памяти моего сервера ... Есть ли более безопасный способ передачи секретной информации через QR-код в URL?

Answer 1

Короче говоря - нет. Обычно можно передавать секреты в виде заголовков, тела или запроса, но у вас нет такой гибкости при использовании QR-кодов.

Без полного понимания ваших бизнес-требований я попытаюсь решить проблему следующим образом.

1. Вставить секрет в URL. Закодируйте его в QR-код. Скройте код в пакете продуктов, чтобы клиент мог найти его после покупки и открытия продукта.
2. После использования URL перенаправьте пользователя на страницу, чтобы создать учетные данные, или используйте некоторые протоколы федерации для создания учетной записи.
3. После создания учетной записи пометьте секрет URL как недействительный.