首頁猿問用戶通過郵箱注冊后的激活，安全性高...

用戶通過郵箱注冊后的激活，安全性高的處理方案？

PHP 安全

達(dá)令說 2018-09-30 16:29:19

正常情況下的步驟：1、進(jìn)入注冊頁2、驗(yàn)證郵箱正確性 3、生成郵箱賬號激活碼code(自加密)4、發(fā)送至注冊郵箱的激活郵件，包含激活URL5、點(diǎn)擊激活URL，判斷生效6、激活成功，跳轉(zhuǎn)至登陸頁面問題：1、以上步驟是否完善？2、激活碼code一般包含哪些內(nèi)容？3、如果注冊郵箱不是注冊人本身擁有的，那收到激活郵件的郵箱擁有者點(diǎn)擊后，是否也可以實(shí)現(xiàn)激活？

查看完整描述

2 回答

收到一只叮咚

TA貢獻(xiàn)1821條經(jīng)驗(yàn) 獲得超5個贊

你說的這個流程

這個流程是完整的
code只是一個哈希值，以它為key應(yīng)該在你的存儲系統(tǒng)中找到一個激活信息，當(dāng)然為了安全期間這個哈希code要夠長，而且碰撞性要比較低才可以，一般32位的md5值可以滿足要求
這個風(fēng)險是存在的，因此你要在注冊郵件中說明“如果此郵件不是由你觸發(fā)的，那么請忽略它”之類的話語，當(dāng)然還要給這類注冊鏈接設(shè)置一個過期時間，一般1到3天較為妥當(dāng)，這樣可以盡量避免誤觸發(fā)的情況

反對回復(fù) 2018-10-14