2015-11-03 40 views

回答

1

一般的方法是,註冊後,您生成確認令牌,並將其存儲在某處。將確認標誌設置爲false也很常見。在簡單身份驗證的情況下,您可能需要向用戶表中添加一些字段。確保將它們包含在選定的字段中。

您還需要一個接受令牌的控制器操作。我還會將用戶名/電子郵件放入網址中,以便只用隨機字符點擊確認網址將不起作用。通過用戶名/電子郵件和令牌查找並驗證它,激活用戶。確保驗證後清除令牌。您不需要它,並且您想要防止使用相同標記進行雙重驗證(如果由於某種原因將用戶設置爲未確認狀態)。

登錄操作中還需要掛鉤:您需要檢查帳戶是否已驗證。一開始不認證,只是驗證用戶。如果有效,請檢查是否已確認。如果不是,則會失敗,並返回登錄過程。

當註冊完成後,您會發送一封電子郵件到指定的電子郵件地址,其中包含確認頁面的URL(包含用戶名/電子郵件和確認令牌的生成URL)。 (如果用戶名/電子郵件是可逆的,則可以被混淆/加密)

+0

感謝bro^_ ^是否安全? –

+0

安全意味着什麼?如果問題是如果它是安全的:是的,我認爲是。鑑於你使你的令牌無效,所以暴力攻擊行不通,我認爲是這樣。 –

+0

它與您生成的令牌以及您在驗證URL中傳遞的其他信息一樣安全。你可以使用Crypt來加密這些額外的信息。 – WanWizard

相關問題