近两天在学习 Rails 关于邮箱激活验证的实现,看到网上的实现方法是:
提交注册信息后,同时在数据库中保存激活吗(暂且叫激活码吧),然后同时将其发送到注册用户的邮箱,然后用户再点击带有激活码的链接,在程序中和数据库中存储的激活码做比对,相符则将激活的状态改为true,否则没有激活。
不知道一般的激活验证是不是这种方式?我总感觉这种方式毫无安全性,因为这样可以通过抓取发给注册用户邮箱的包,获取激活码,然后通过 curl 等方式回给服务器虚假信息
程序参考:http://stackoverflow.com/questions/12805523/activate-user-via-email-in-rails
LZ 多虑了,即使截取到了也没什么用,无非就是帮别人激活而已,也不能得到密码什么的。如果考虑到安全的话,你可以在激活后不直接登陆,而是要求用户再登陆一次。
激活邮件的目的主要还是帮助用户确认注册时输入的电子邮件是对的,如果不对的话他们就无法使用。多以对于激活功能,安全性不是首要考虑的问题,如何帮助用户确认自己的电子邮件可用(包括不可用的时候允许用户替换)才是最重要的。