-1

我浏览了 stackoverflow 上的许多帖子,以了解如何创建一个简单的 Web 令牌以通​​过邮件确认注册。没有看到任何“官方”方式或常用技术。

我的想法不是在数据库中添加一个带有到期日期的特定单元格来加密或散列到期日期、电子邮件和一个随机值(用 生成randomSecure)来创建我的令牌。

这是实现这一目标的好方法吗?是否有库可以自动执行此操作。

任何帮助是极大的赞赏。

4

1 回答 1

1

您(可能)需要一种方法来防止某人生成自己的令牌。如果您的令牌在令牌中有明确的到期日期和电子邮件地址,那么可以轻松地对其进行逆向工程,因此唯一安全的信息是随机数。但是为了使随机数有用(从安全角度来看),您的服务器需要记住随机数。但是,如果您要这样做,则其他信息是多余的。

所以我的建议是只使用随机数作为令牌。生成具有合适“文本盔甲”的随机数的一个好方法是生成一个 4 型 UUID;有关详细信息,请参阅UUID类 javadoc。其余信息(到期时间、电子邮件地址和用户注册信息的唯一密钥)可以存储在数据库表中而不发送给用户。

于 2018-12-23T23:00:23.370 回答