Web 应用程序帐户确认安全流程

【问题标题】:Web application account confirmation security flowWeb 应用程序帐户确认安全流程
【发布时间】:2013-10-21 20:08:44
【问题描述】:

我对确认链接的安全流程有疑问。

我有一个网站,您必须在提交这些信息后填写您的电子邮件地址和密码,我的应用程序会发送一封电子邮件,其中包含指向用户电子邮件地址的安全链接。单击确认电子邮件后,用户会自动登录到应用程序中。

现在的问题:

自动登录用户点击确认链接是否存在安全风险?

【问题讨论】:

  • “[...] 我的应用程序发送了一封 insecure 电子邮件,其中包含指向用户电子邮件地址的安全链接。” ;)
  • @Gumbo 抱歉邮件不安全?
  • 您的邮件服务器、收件人的邮件服务器以及最终收件人的客户端计算机之间的每个链接都不太可能受到保护,并且您不太可能信任参与交付的各方。请参阅privacy concerns of emails 了解更多信息。

标签: security security-policy


【解决方案1】:

自动登录用户点击确认链接是否存在安全风险?是和不是。这取决于链接中的内容。我要做的是我将在数据库 activate_code 中有两个字段,它是随机生成的,is_activated 默认为 0。然后我将发送一个激活码链接和另一封带有激活链接的电子邮件。进入激活链接后,用户将填写代码并激活帐户。将他重定向到登录页面。 不要发送用户电子邮件或任何其他信息。只需发送随机代码或类似的东西 那是我的分!

【讨论】:

    【解决方案2】:

    是的,存在安全问题,如 Gumbo points out

    既然用户提供了电子邮件和密码,为什么不要求他登录才能访问他的确认页面?

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2012-09-05
      • 1970-01-01
      • 1970-01-01
      • 2011-07-29
      • 2013-08-12
      • 2011-07-04
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode