我打算用grails开发一个电子邮件确认流程。我正在使用REST安全插件,这就是我想到的流程:
- 来自浏览器:POST / auth / register传递用户名,密码和电子邮件
- 服务器端:使用ROLE_NOT_CONFIRMED
创建新用户
- 服务器端:自动登录用户并生成新的访问令牌
- 异步服务器端:发送包含GET / auth / confirm / 用户名 / access-token
等确认网址的电子邮件
- 用户邮件客户端:点击确认链接
- 服务器端:检查在步骤2中创建的用户名和access_token
- 服务器端:如果步骤6没问题,请将用户角色更新为ROLE_USER
您是否看到任何安全问题?