-3

对于我的网页,我使用(HTTPS)链接而不是密码来更改页面。在链接中,我使用了 2 个 MD5 哈希值,MD5 的基数是随机的(广告 ID 和其他一些不可猜测的信息)。当然,除了拥有带有链接的电子邮件的人之外,我不希望其他人更改页面。这个解决方案实际上有多安全?还有什么其他选择,我不想使用密码……。

示例链接:

https://www.huurhulp.nl/wijzigen/wijzigen.php?wijzigen_adv=14&code=523a98367bfb05765fb86a2535966aad

如果带有链接的电子邮件未转发,链接是否可能会落入他人手中?可以窃听吗?

4

1 回答 1

2

根据您的描述,您无法撤销其中一个链接(实际上是不记名令牌)。

如果您知道其中一个已泄露,并且您需要阻止通过该链接的访问(并发布一个新链接),这可能是一个问题。

理想情况下,您会为存储在数据库中的每个页面使用完全随机的标记。

提高安全性的其他选项是一段时间后过期和使用后过期(如果您的流程是基于电子邮件的,您可以在发生这种情况时发送新令牌)。

我认为一个很好的例子是 Flickr 如何实现访客通行证:您可以创建任意数量的访客通行证,也可以单独撤销它们。

于 2012-08-27T07:42:55.157 回答