誰かが私のサイトに登録すると、その人は登録を完了するための確認リンクを受け取ります。私が持っているアイデアは、ランダムに生成された番号でテーブル「ユーザー」に列を作成することです。次に、ユーザーの電子メールへのリンクを送信します。リンクの例は
次のとおりです。
問題なく動作しますが、追加の列が必要です。これは良い考えですか?私が持っていた2番目のアイデアは、Saltを確認コードとして使用することでした.これは良いですか?
編集:これをhttps://security.stackexchange.com/に移動することは可能ですか?
これはおそらくsecurity.stackexchange.comにより適しています。
そうは言っても...「未確認」のユーザー ID を大きな乱数 (おそらく UUID) にマップし、電子メールでユーザーに送信する新しいテーブルを作成する際の問題は何ですか? そのソリューションのコストは最小限に抑える必要があるため、他のものをわざわざ実装する理由がわかりません。
ソルトの送信に実際の問題はないはずですが、それはソルトの生成方法によって異なります。優れた PRNG を使用していれば、理論的には問題ないはずです。それ以外の場合は、問題になる可能性があります。たとえば、salt 値のジェネレーターとしてシーケンシャル カウンターまたはタイムスタンプを使用している場合、それはあまり良くありません。問題は、ソルト自体を明らかにしていることではなく、悪意のあるユーザーが次の検証トークンが何であるかを「推測」できるようにする情報を漏らしていることです。有効な電子メール アドレス。