我一直认为在电子邮件中的 url 中识别用户是有风险的。例如,假设我的应用程序类似于 eventBrite。我正在邀请一组用户参加即将举行的活动。我为每个用户的电子邮件创建了唯一的 url,这使他们可以简单地单击电子邮件中的这些 url 来接受或拒绝。即,他们不必通过网站进行身份验证。
如果他们通过网络邮件在移动设备或公共计算机上查看电子邮件,则单击链接将完全接受/拒绝。
这种方法是否太冒险了?我曾假设您应该避免这种情况,因为某些东西可能会看到这些 url 并对它们发出请求,这会触发错误的接受/拒绝。