c# – 使用我的UserId Guid作为我的电子邮件确认链接是否安全?
发布时间:2020-12-16 00:04:50 所属栏目:百科 来源:网络整理
导读:我想进行电子邮件确认注册,以便当用户注册时,他或她收到一封带有确认链接的电子邮件.链接类似于:www.site.com/confirm?id = 34398df809as8df9,然后将其与标准aspnet成员资格提供程序中的数据库中的UserId进行匹配.使用UserId作为传递给电子邮件的guid构成
|
我想进行电子邮件确认注册,以便当用户注册时,他或她收到一封带有确认链接的电子邮件.链接类似于:www.site.com/confirm?id = 34398df809as8df9,然后将其与标准aspnet成员资格提供程序中的数据库中的UserId进行匹配.使用UserId作为传递给电子邮件的guid构成任何类型的漏洞或安全威胁?
解决方法
GUID是链接中唯一的想法吗?如果是这样,那绝对不安全.这意味着一旦攻击者拥有任何人的身份证(例如,通过查找旧邮件),他们就可以随时重置用户的密码.
密码重置链接至少应包括一次性使用时间限制令牌. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |