Security Web应用程序帐户确认安全流
我对确认链接的安全流程有疑问 我有一个网站,你必须在上面填写你的电子邮件地址和密码,在提交这些信息后,我的应用程序会发送一封带有用户电子邮件地址安全链接的电子邮件。单击确认电子邮件后,用户将自动登录到应用程序中 现在问题:Security Web应用程序帐户确认安全流,security,security-policy,Security,Security Policy,我对确认链接的安全流程有疑问 我有一个网站,你必须在上面填写你的电子邮件地址和密码,在提交这些信息后,我的应用程序会发送一封带有用户电子邮件地址安全链接的电子邮件。单击确认电子邮件后,用户将自动登录到应用程序中 现在问题: 自动登录用户点击确认链接是否存在安全风险?自动登录用户点击确认链接是否存在安全风险?是和否。这取决于链接中的内容。我要做的是在数据库activate_代码中有两个字段,它们是随机生成的,并且是被激活的,默认为0。然后我会发送一个链接到激活码和另一个电子邮件与激活链接。一旦在激
自动登录用户点击确认链接是否存在安全风险?自动登录用户点击确认链接是否存在安全风险?是和否。这取决于链接中的内容。我要做的是在数据库activate_代码中有两个字段,它们是随机生成的,并且是被激活的,默认为0。然后我会发送一个链接到激活码和另一个电子邮件与激活链接。一旦在激活链接,用户将填写代码和帐户将被激活。将他重定向到登录页面。 不要发送用户电子邮件或任何其他信息。只要发送随机码或类似的东西
那是我的一分钱 是的,存在安全问题,例如
既然用户提供了电子邮件和密码,为什么不要求他登录以访问他的确认页面?“[…]我的应用程序发送一封不安全的电子邮件,其中包含指向用户电子邮件地址的安全链接。”;)@Gumbo抱歉,电子邮件不安全?您的邮件服务器、收件人的邮件服务器以及最终收件人的客户端计算机之间的每个链接都不太可能受到保护,并且您可以信任参与传递的各方。有关更多信息,请参阅。