电子邮件中可以编辑数据库中数据的链接

时间:2013-11-13 23:17:18

标签: django uuid django-email

我道歉,如果这是微不足道的,但我认为这很容易找到,但我认为问题在于我不确定我在寻找什么。

基本上,我想向一位客户发送一封电子邮件,让他们的皮卡错过了皮卡,以帮助重新安排新的约会或取消所有取件,具体取决于他们点击的电子邮件中的链接。

使用pk和ID似乎是链接到任何视图的安全漏洞,因为URL很容易被更改。我需要使用哪些协议/库来完成这样的任务?我只是为我的数据库中的每个客户分配一个UUID,然后关闭它吗?

1 个答案:

答案 0 :(得分:1)

拥有UUID代表用户会很好,但请记住,这只是一个减速带。电子邮件不安全,可由第三方阅读。即使使用UUID,也有人可以冒充他人。不过,听起来这是一个相当低风险的问题。这里最糟糕的情况是什么?您是否有办法通过客户支持来缓解它?

如果您想让事情变得更加安全,那么您只需要一个需要身份验证才能更改订单的链接。这是与用户摩擦和安全性之间的平衡。

看来你已经有了正确的想法。我建议不要用户pk,因为它们通常是增量的,而且很容易遍历所有客户。假设没有任何东西可以获得,UUID只会显着增加数字空间,以阻止人们这样做。