对于我的网页,我使用(HTTPS)链接而不是密码来更改页面。在链接中,我使用了两个MD5哈希,MD5的基础是随机的(广告的ID和其他一些不可猜测的信息)。当然,我不希望除了有链接的电子邮件的人之外的其他人更改页面。这个解决方案实际上有多安全?还有什么其他选择,我不想使用密码…。
示例链接:
https://www.huurhulp.nl/wijzigen/wijzigen.php?wijzigen_adv=14&代码=523a98367bfb05765fb86a2535966aad
如果带有链接的电子邮件没有转发,链接是否可能掌握在其他人手中?窃听可能吗?
根据您的描述,您无法撤销其中一个链接(实际上是承载令牌)。
如果你知道其中一个已经泄露,并且你需要阻止通过该链接的访问(并发布一个新的链接),这可能是一个问题。
理想情况下,您将对存储在数据库中的每个页面使用完全随机的令牌。
其他提高安全性的选项包括一段时间后过期和使用后过期(如果您的流是基于电子邮件的,则可以在发生这种情况时发送新令牌)。
我认为一个很好的例子是Flickr如何实现访客通行证:你可以创建任意数量的访客通行证,也可以单独撤销它们。