Ich habe eine Website wie SO. Wenn Benutzer ein Konto erstellen, werden ihre Konten deaktiviert, bis sie ihre E-Mails öffnen und auf eine solche URL klicken, die ich zuvor gesendet habe.Bester Algorithmus zum Aktivieren des Benutzerkontos
Nun, diese URL sollte welche Parameter enthalten?
Derzeit hash ich die E-Mail des Benutzers und übergeben Sie es als Parameter an diese URL. Wenn der Nutzer darauf klickt, bekomme ich diese Hash-E-Mail und vergleiche sie. Aber mein Algorithmus ist nicht gut, weil Benutzer Hash-sich selbst emailen und es an mein Skript weitergeben können, ohne seine E-Mail zu öffnen. Nun, ich möchte wissen, wie ich eine Bestätigungs-URL erstellen kann und wie kann ich sie bestätigen?
Sie müssen es zusammen mit etwas Zufälliges hashen, das nur die App kennt. –
Schauen Sie sich Salzen Hashes. [Dieser Beitrag] (http://security.stackexchange.com/questions/51959/why-are-salted-hashes-more-secure-for-password-storage) bezieht sich auf Passwörter, aber Sie können die gleiche Methode für Ihre verwenden Einweg-Aktivierungslink Dann können Sie den Schlüssel einfach in Ihrer Datenbank speichern, bis er verwendet wird, und dann den Datensatz entfernen. – Takarii
Es ist normalerweise am besten, auch ein Ablaufdatum zu haben, so dass Sie nach einiger Zeit eine Bereinigung in Ihrer Datenbank vornehmen können, indem Sie alle abgelaufenen (nicht aktivierten) Konten löschen. – ChatterOne