我想保持我的数据库清理几乎帐户,我正在考虑将新的注册和邀请作为加密或散列的URL将他们的数据放入欢迎电子邮件.一旦URL中的链接被访问,那么该信息随后作为一个帐户被添加到数据库中.
有没有什么,目前这样做?有关以这种方式进行用户注册的任何引用,想法或警告?
谢谢!
有没有什么,目前这样做?有关以这种方式进行用户注册的任何引用,想法或警告?
谢谢!
编辑:
我做了一个工作示例,该URL为127个字符.
- http://localhost/confirm?_=hBRCGVqie5PetQhjiagq9F6kmi7luVxpcpEYMWaxrtSHIPA3rF0Hufy6EgiH%0A%2BL3t9dcgV9es9Zywkl4F1lcMyA%3D%3D%0A
显然,更多的数据=较大的网址
- def create
- # Write k keys in params[:user] as v keys in to_encrypt,doing this saves LOTS of unnecessary chars
- @to_encrypt = Hash.new
- {:firstname => :fn,:lastname => :ln,:email => :el,:username => :un,:password => :pd}.each do |k,v|
- @to_encrypt[v] = params[:user][k]
- end
- encrypted_params = CGI::escape(Base64.encode64(encrypt(compress(Marshal.dump(@to_encrypt)),"secret")))
- end
- private
- def aes(m,t,k)
- (aes = OpenSSL::Cipher::Cipher.new('aes-256-cbc').send(m)).key = Digest::SHA256.digest(k)
- aes.update(t) << aes.final
- end
- def encrypt(text,key)
- aes(:encrypt,text,key)
- end
- def decrypt(text,key)
- aes(:decrypt,key)
- end
- # All attempts to compress returned a longer url (Bypassed by return)
- def compress(string)
- return string
- z = Zlib::Deflate.new(Zlib::BEST_COMPRESSION)
- o = z.deflate(string,Zlib::FINISH)
- z.close
- o
- end
- def decompress(string)
- return string
- z = Zlib::Inflate.new
- o = z.inflate(string)
- z.finish
- z.close
- o
- end
解决方法
思考:
>为“cookie”使用非对称密码,以防止机器人创建帐户.使用公钥加密“cookie”,通过私钥解码来验证.理由:如果只使用base64或其他算法对cookie进行编码,则可以轻松地对该方案进行逆向工程并自动创建帐户.这是不受欢迎的,因为垃圾邮件.此外,如果帐户受密码保护,密码必须显示在cookie中.访问注册链接的任何人都不仅可以激活帐户,还可以找出密码.>需要通过链接激活后重新输入密码.理由:根据网站的目的,您可能希望改善对信息欺骗的保护.激活后重新输入密码,防止被盗/欺骗的激活链接.>验证激活链接时,请确保已创建由其创建的帐户.>如何保护两名用户同时创建同名的帐号?可能的答案:使用电子邮件作为登录标识符,不需要唯一的帐户名称.>首先验证电子邮件,而不是继续创建帐户.理由:这将最小化您需要在cookie中发送的信息.