是否有理由不使用JSON Web Token进行邮件验证?
我会使用用户邮件和过期时间创建令牌,然后在用户单击链接时检查令牌。这样我就不必将令牌存储在数据库中了。
但我想知道攻击者是否可以提取密钥,因为他可以控制邮件输入并估计令牌中的到期时间?
答案 0 :(得分:0)
我一直在考虑这个问题,而且我个人认为使用JWT验证用户的电子邮件地址没有任何漏洞,但是我担心的是用户是否更改了他们的电子邮件地址,并且令牌有如果用户重新使用旧令牌,会不会过期,会验证新的电子邮件地址吗?
嗯,看起来你必须正确地计划这一点,但我认为没有明智的安全问题。玩得开心!