https://ruby-china.org/hanwang en-us <p>大家好</p> <p>我有个问题关于新用户注册，从安全角度考虑。新用户注册提供的邮箱为了防止恶意和机器人注册，不是常规操作都是需要点击邮箱验证链接后才算完成注册么。</p> <p>按照现在的方法，如果：</p> <p>假设我的邮箱是 123@example.com</p> <ol> <li>我注册的时候写错了，写成了 1233@example.com</li> <li>我直接登录了，然后发了个帖子</li> <li>1233@example.com 收到了欢迎邮件</li> <li>拥有 1233@example.com 邮箱的人使用找回密码，更改密码</li> <li>这个人可以随意改我的帖子，删除我的帖子，或者删除我的账户</li> </ol> <p>我看系统的找回密码已经有生成链接的逻辑了，想知道下注册不进行邮件校验的初衷。</p> <p><a href="/huacnlee" class="user-mention" title="@huacnlee"><i>@</i>huacnlee</a> </p> <p>先谢谢大家了 </p> hanwang Sun, 27 Sep 2020 21:07:05 +0800 https://ruby-china.org/topics/40447 https://ruby-china.org/topics/40447