Email 使用推荐人生成url？

我正试图想出一个安全的电子邮件验证/认证重定向解决方案。以下是基本场景：

• 用户在该站点注册
• 我们向用户发送电子邮件以确认注册
• 电子邮件包含一个url，其中包含完成该过程的令牌

这是可行的，但我有一个服务用于生成url的主机名的配置值。我想要更灵活的东西。我的第一个想法是使用推荐人标题，但我想这是相当不安全的。我还希望允许每个企业有一个子域，因此我希望url生成非常智能。现在，我回到了“允许的主机”的一些配置值

---

我知道这个问题已经解决了，但我很难为谷歌找到合适的术语来展示解决方案。

引用者标题只在浏览器中设置。当用户单击电子邮件中的链接时，它将不会被设置为任何有用的内容

我不认为谷歌有什么特别之处。你得到了正确的过程：生成一个秘密令牌，发送一个包含它的链接，完成

---

如何构建URL完全是你自己的事，没有“库存”或“标准”的方式来实现。

引用者标题仅在浏览器中设置。当用户单击电子邮件中的链接时，它将不会被设置为任何有用的内容

我不认为谷歌有什么特别之处。你得到了正确的过程：生成一个秘密令牌，发送一个包含它的链接，完成

---

如何构建url完全是你自己的事，没有“库存”或“标准”的方法来实现。

我正在考虑使用推荐人生成嵌入在电子邮件中的url。我担心的是，有人可能会进行身份验证，然后使用身份验证令牌向用户发送电子邮件，但会伪造推荐人。然后，收件人收到一封看起来像来自我的网站的电子邮件，但它会将用户带到另一个网站。我不明白：那么，什么是推荐人？每当您通过HTTP请求URL时，浏览器（有时）都会设置referer标头，其中包含您“来自”的URL。所以，这似乎与你的问题没有任何关系？浏览器正在发送推荐人，我的url生成使用该推荐生成url，没有问题，电子邮件中的url也正常工作。我关心的是我是否应该信任referer头的内容。如果这是一个普遍的问题：不，显然不是，因为它完全控制着userRight，所以我正在尝试为这个问题提出“标准”解决方案。我是否要创建一个允许域的列表，然后检查推荐人是否在列表中？我正在考虑使用推荐人生成嵌入在电子邮件中的url。我担心的是，有人可能会进行身份验证，然后使用身份验证令牌向用户发送电子邮件，但会伪造推荐人。然后，收件人收到一封看起来像来自我的网站的电子邮件，但它会将用户带到另一个网站。我不明白：那么，什么是推荐人？每当您通过HTTP请求URL时，浏览器（有时）都会设置referer标头，其中包含您“来自”的URL。所以，这似乎与你的问题没有任何关系？浏览器正在发送推荐人，我的url生成使用该推荐生成url，没有问题，电子邮件中的url也正常工作。我关心的是我是否应该信任referer头的内容。如果这是一个普遍的问题：不，显然不是，因为它完全控制着userRight，所以我正在尝试为这个问题提出“标准”解决方案。我是否创建了一个允许域的列表，然后检查推荐人是否在列表中？以确保我正确理解-这是否是其他应用程序将使用的某种通用电子邮件验证程序服务？否，这只是我的应用程序。为了确保我正确理解-这是其他应用程序将使用的某种通用电子邮件验证程序服务吗？不，这只是我的应用程序。