我有一个网络应用程序,允许用户登录他们的帐户。当他们忘记密码或想要确认电子邮件时,他们会收到一封带有一次性链接的电子邮件(此链接的查询字符串中包含一次性代码 ie example.com?code=encrypt(1234)),该链接在给定时间后过期。
现在拥有此链接将授予您更改用户密码的能力。这是安全威胁吗?与此 webapp 之间发送和接收的每个包都是非确定性加密的。
简而言之,我的问题:
- 是否有问题,我使用相同的链接来确认电子邮件,并根据情况重置密码?
- 这个一次性代码作为加密字符串发送是否存在问题。我的意思是,如果代码实际上是一个字符串,例如
h4drMfH/iVSPJGP0+zFlNQw......5bqnwU7Pdbo=有什么方法可以预测算法,或者如果他们知道字符串编码为四位数字就破解它?即他们可以向后工作以找到算法。请注意,encrypt(123)如果您执行两次,结果会有所不同。 - 有人可以通过使用代码是我的网络应用程序使用的查询字符串的一部分这一事实来掌握它吗?
赞赏。