现在我有一个任务是在电子邮件中制作登录链接。我观察了其他网站是如何制作的,通常他们使用哈希自动登录网站。
在我们的网站上,我们有一个订单号和密码,我们用它来登录管理个人帐户。
我的问题是:是否有一些安全的理由不使用订单号和电子邮件中链接加法器中的引脚进行登录?
一般来说,在电子邮件中自动登录很少是一个好主意。但是,如果您确实需要它,则应确保a) 该链接只能使用一次(几次)和b) 链接只能在有限的时间内使用
无论您使用哈希还是纯文本来了解自动登录功能都没有关系 - 如果中间的人收到您的邮件,他可以登录。你想散列什么?订单号和引脚?您将保留哈希服务器端,以便 pin 和订单号不会在邮件中直接可见?我宁愿建议使用盐进行加密,并将盐附加到邮件中的加密链接中。