0

在我的 asp.net mvc 应用程序中,当用户注册时,我会向他们的帐户发送一封电子邮件,其中包含一个验证链接,然后他们才能使用该应用程序。请参阅下面的代码片段。

        var emailActionLink = Url.Action("ValidateAccount", "Register",
            new { Token = registeredUserViewModel.Id, Username = registeredUserViewModel.Username },
            Request.Url.Scheme);

上面的代码片段是他们将点击的内容,然后将调用带有路由值的操作,

验证帐户操作

    public ActionResult ValidateAccount(string token, string username)
    {
        try
        {
            if (!string.IsNullOrEmpty(token) && !string.IsNullOrEmpty(username))
            {
                var user = _userServiceClient.IsUserNameAvailable(username);
                if (!user.HasValue) throw new NullReferenceException("This account does not exist");



                var userContract = user.Value;
                userContract.EmailVerified = true;
                if (_userServiceClient.UpdateUser(userContract) == null) throw new Exception("Something has gone wrong");
                return View("ValidationCompleted");
            }
            else
            {
                ViewBag.RegisteredUser = null;
            }
        }
        catch (Exception exception)
        {
            throw;
        }

        return View();
    }

问题是,这种方法没有验证令牌,如果有人更改tokenuri 中的值会发生什么,这仍然会通过并且非常帐户。改进这一点的正确方法是什么。

在这种情况下,token 是用户的 ID,它是一个 Guid,但它是经过编码的,并且无法将我的数据库中的用户 ID 与这个编码的标记进行比较。我认为这是在动作链接中编码的。

4

1 回答 1

2

与其使用您的 ID,不如在表中使用一个 Token 字段(可以为空,以便在验证后将其清除)。生成一个 URL 安全令牌(我使用不使用任何特殊字符的十六进制字符串),然后在验证操作中在数据库中查找该令牌。

这是令牌生成器的示例:

public class TokenGenerator
{
    public static string GenerateToken(int size = 32)
    {
        var crypto = new RNGCryptoServiceProvider();
        byte[] rbytes = new byte[size / 2];
        crypto.GetNonZeroBytes(rbytes);

        return ToHexString(rbytes, true);
    }

    private static string ToHexString(byte[] bytes, bool useLowerCase = false)
    {
        var hex = string.Concat(bytes.Select(b => b.ToString(useLowerCase ? "x2" : "X2")));

        return hex;
    }
}

然后,将适当的方法添加到您的服务类:

public YourUserType GetUserForToken(string token, string userName)
{
    return YourDbContext.Users
        .SingleOrDfault(user => user.Token.Equals(token, StringComparison.OrdinalIgnoreCase) 
            && user.UserName.Equals(userName, StringComparison.OrdinalIgnoreCase));
}

显然,这对您的表结构和数据访问代码做了一些假设。

于 2016-07-01T19:13:03.340 回答