我可以避免为验证创建一个完整的数据库,或者在当前用户表中浪费一些其他浪费的表上的开销。
据我所知,这是一个安全而干净的解决方案。但我对这一切都很陌生,我的问题甚至可能是愚蠢和陈腐的但我认为在提出相当大的错误之前先问问专家是安全的。
网址将是这样的: www.example.ex /验证/用户名/ md5username
所以我的问题是:这是一个好主意吗?我甚至需要加盐吗?
答案 0 :(得分:0)
使用纯md5-hash,这将是一个坏主意。一旦用户看到此方案,他就可以在没有有效邮件地址的情况下验证新帐户。
至少,md5-hash必须有一些盐 - 最好是每个用户都有一个新的。否则它将是security through obscurity。