我有关于确认链接的安全流程的问题。Web应用程序帐户确认安全流程
我有一个网站,你必须在填写你的电子邮件地址和密码后填写这些信息我的应用程序发送一封电子邮件与用户的电子邮件地址的安全链接。点击确认后,电子邮件用户会自动在应用程序中进行登录。
现在的问题:
是否有安全风险的自动登录用户的确认链接的点击?
我有关于确认链接的安全流程的问题。Web应用程序帐户确认安全流程
我有一个网站,你必须在填写你的电子邮件地址和密码后填写这些信息我的应用程序发送一封电子邮件与用户的电子邮件地址的安全链接。点击确认后,电子邮件用户会自动在应用程序中进行登录。
现在的问题:
是否有安全风险的自动登录用户的确认链接的点击?
点击确认链接自动登录用户是否有安全风险?是和不是。这取决于链接中的内容。我要做的是在数据库activate_code中有两个字段,它是随机生成的,is_activated,默认为0.然后我会发送一个链接激活代码和另一封带有激活链接的电子邮件。一旦激活链接,用户将填写代码和帐户将被激活。将他重定向到登录页面。 不要发送用户电子邮件或任何其他信息。只是发送随机代码或类似的东西 这是我的分!
是的,存在安全问题,如Gumbopoints out。
由于用户提供了一个电子邮件&密码,为什么不要求他登录访问他的确认页?
“[...]我的应用程序发送*安全*电子邮件与用户电子邮件地址的安全链接。”;) – Gumbo
@Gumbo对不起电子邮件不安全? –
您的邮件服务器,收件人的邮件服务器和收件人的客户端计算机之间的每个链接都受到保护并且您可以信任参与交付的各方是非常不可能的。有关更多信息,请参阅[电子邮件的隐私问题](http://en.wikipedia.org/wiki/Email#Privacy_concerns)。 – Gumbo