Поток безопасности подтверждения учетной записи веб-приложения

Question

У меня есть вопрос о потоке безопасности ссылки подтверждения.

У меня есть веб-сайт, на котором вы должны заполнить свой адрес электронной почты и пароль после подачи этой информации, мое приложение отправляет электронное письмо с безопасной ссылкой на адрес электронной почты пользователя.После нажатия на подтверждение по электронной почте пользователь автоматически попадает в приложение.

Теперь вопрос:

Существует ли угроза безопасности автоматического входа пользователя при нажатии на ссылку подтверждения?

Answer 1

Да, существует проблема безопасности, поскольку Гамбо указывает на .

Поскольку пользователь указал адрес электронной почты и пароль, почему бы не потребовать, чтобы он вошел в систему для доступа к своей странице подтверждения?

Answer 2

Существует ли риск для безопасности при автоматическом входе пользователя в систему при нажатии на ссылку подтверждения? И да и нет. Это зависит от того, что находится в ссылке. Что бы я сделал, у меня было бы два поля в базе данных activ_code, которое генерируется случайным образом и is_activation по умолчанию равно 0. Затем я отправлю ссылку на код активации и другое письмо со ссылкой для активации. Как только вы перейдете по ссылке активации, пользователь введет код и аккаунт будет активирован. перенаправить его на страницу входа. Не отправляйте электронные письма пользователей или любую другую информацию. просто отправьте случайные коды или что-то подобное Это мой цент!