当用户在我的应用上注册时,他会收到一封电子邮件。在此电子邮件中,有一个激活/确认其帐户的链接。
我的想法是:数据库记录包含字段activated (boolean),字段activation code (objectid/guid)和id (objectid/guid)。
因此,电子邮件将包含指向
https://my.foo.bar.com/auth/activation/{userid}/{activationcode}
会激活帐户。
实际问题是:这是否安全(足够)?我对身份验证一般都很新,我不确定这种方式是否正确。我应该只使用2个激活码而不是用户ID /激活码吗?
答案 0 :(得分:0)
实际上当用户尝试在应用程序或任何网站上注册时,确认或激活代码将由特定网站或应用程序发送给用户因此您只需要激活代码和用户ID即可,为了高安全性,您可以使用加密和解密来发送和接收您和用户之间的机密信息(例如:用户ID,激活码)
答案 1 :(得分:0)
这是否安全(足够)?
答案是"是"对于大多数用例,如果我可以想象的大多数用例"大概与你的相配。只有你可以知道这是否足够安全。
事实上,这是一个确认给定电子邮件地址属于某个人的程序 - 这是您真正需要的吗?
如果您的GUID足够好(例如,128位加密安全随机),它就像电子邮件传递通道一样安全。电子邮件传送渠道对于大多数用例"而言足够安全,但对于某些区域可能还不够,例如:财务方面。