我对确认链接的安全流程有疑问。
我有一个网站,您必须在提交这些信息后填写您的电子邮件地址和密码,我的应用程序会发送一封电子邮件,其中包含指向用户电子邮件地址的安全链接。单击确认电子邮件后,用户会自动登录到应用程序中。
现在问题:
单击确认链接自动登录用户是否存在安全风险?
问问题
450 次
2 回答
0
是的,正如Gumbo 指出的那样,存在安全问题。
既然用户提供了电子邮件和密码,为什么不要求他登录才能访问他的确认页面?
于 2013-10-21T12:08:44.190 回答
0
单击确认链接时自动登录用户是否存在安全风险?是和不是。这取决于链接中的内容。我要做的是在数据库 activate_code 中有两个字段,它是随机生成的,is_activated 默认为 0。然后我将发送一个激活码链接和另一封带有激活链接的电子邮件。进入激活链接后,用户将填写代码并激活帐户。将他重定向到登录页面。不要发送用户电子邮件或任何其他信息。只需发送随机代码或类似的东西那是我的分!
于 2011-09-22T16:48:59.883 回答