Я хочу создать приложение для новостной рассылки, и пользователям, естественно, придется подтвердить, что они подписались на рассылку, чтобы мы не спамили их, если какой-то бот введет адреса.
Моя идея состояла в том, чтобы просто отправить пользователю электронное письмо, содержащее ссылку с секретным ключом в URL, который представляет собой хэш адреса электронной почты и некоторый секретный ключ сайта.
Мои вопросы следующие:
Может ли кто-нибудь, зарегистрировав несколько учетных записей и получив таким образом хэш секрета со своим адресом, угадать ключ сайта и, таким образом, зарегистрировать каждый адрес электронной почты, который он хочет?
Я не вижу ничего, что можно было бы получить от этого, но если это очень легко, есть вероятность, что кто-то сделает это, и я попаду в черный список.
Моя причина не хранить неактивированную учетную запись пользователя состоит в том, что я не хочу удалять их из БД каждые x дней.