メールでサインアップを確認するための簡単な Web トークンを作成する方法を見つけるために、stackoverflow に関する多くの投稿を調べました。「公式」のマナーや一般的なテクニックを見ずに。
ただし、有効期限のある特定のセルをデータベースに追加して有効期限を暗号化またはハッシュする代わりに、電子メールとランダム値 (で生成randomSecure) を使用してトークンを作成しました。
これはそれを達成するための良い方法ですか?それを自動的に行うライブラリがあります。
どんな助けでも大歓迎です。
(おそらく) 誰かが独自のトークンを生成するのを防ぐ方法が必要です。トークンに有効期限と電子メール アドレスが明確に含まれている場合、それらはほとんど労力をかけずにリバース エンジニアリングできるため、唯一の安全な情報は乱数です。ただし、(セキュリティの観点から) 乱数を有効にするには、サーバーが乱数を記憶している必要があります。しかし、そうするつもりなら、他の情報は冗長です。
したがって、私の提案は、乱数をトークンとして使用することです。また、適切な「テキスト アーマー」を使用して乱数を生成する良い方法は、タイプ 4 UUID を生成することです。詳細については、UUIDクラスの javadoc を参照してください。残りの情報 (有効期限、電子メール アドレス、およびユーザー登録情報の一意のキー) はデータベース テーブルに格納でき、ユーザーには送信されません。