我对确认链接的安全流程有疑问。
我有一个网站,您必须在提交这些信息后填写您的电子邮件地址和密码,我的应用程序会发送一封电子邮件,其中包含指向用户电子邮件地址的安全链接。点击确认电子邮件后,用户会自动登录应用程序。
现在提问:
单击确认链接时自动登录用户是否存在安全风险?
答案 0 :(得分:0)
单击确认链接时自动登录用户是否存在安全风险?是的,不是。这取决于链接中的内容。我要做的是我将在数据库activate_code中有两个字段,即随机生成和is_activated,默认为0.然后我将发送一个链接到激活码和另一个带激活链接的电子邮件。一旦处于激活链接,用户将填写代码并激活帐户。将他重定向到登录页面。 不要发送用户电子邮件或任何其他信息。只需发送随机代码或类似的东西 那是我的分!
答案 1 :(得分:0)
是的,存在安全问题,Gumbo points out。
由于用户提供了电子邮件&密码,为什么不要求他登录才能访问他的确认页面?