0

如果这是微不足道的,我深表歉意,但我认为这很容易找到,但我认为问题在于我不确定我在寻找什么。

基本上,我想向皮卡车错过取件的客户发送一封电子邮件,以帮助重新安排新日期或取消取件,具体取决于他们单击的电子邮件中的哪个链接。

使用 pk 和 ID 链接到任何视图似乎是一个安全漏洞,因为 URL 很容易更改。我需要使用哪些协议/库来完成这样的任务?我是否只是为数据库中的每个客户分配一个 UUID 并关闭它?

4

1 回答 1

1

有一个 UUID 来代表用户会很好,但请记住,这只是一个减速带。电子邮件不安全,第三者可以阅读。即使使用 UUID 的人也可以冒充另一个人。不过,这听起来像是一个相当低风险的问题。这里最糟糕的情况是什么?你有办法通过客户支持来缓解它吗?

如果您想让事情变得更安全,您只需要一个需要身份验证才能更改其订单的链接。这是与用户的摩擦和安全性之间的平衡。

看来您已经有了正确的想法。我建议不要使用用户 pk,因为它们通常是增量的,并且很容易迭代所有客户。UUID 只是显着增加了数字空间,它应该阻止人们在没有任何收获的情况下这样做。

于 2013-11-13T23:31:11.160 回答