推荐学习书目 Learn Python the Hard Way Python Sites PyPI - Python Package Index http://diveintopython.org/toc/index.html Pocoo 值得关注的项目 PyPy Celery Jinja2 Read the Docs gevent pyenv virtualenv Stackless Python Beautiful Soup 结巴中文分词 Green Unicorn Sentry Shovel Pyflakes pytest Python 编程 pep8 Checker Styles PEP 8 Google Python Style Guide Code Style from The Hitchhiker's Guide
这是一个创建于 4316 天前的主题,其中的信息可能已经有所发展或是发生改变。
这两天闲暇时在写一个小应用,遇到了用户注册后,发送激活邮件给用户用以激活帐号的设计问题。
我目前的想法是这样的:在激活链接中传递三个参数,用户的email,发送此邮件时的时间戳ts,以及一个MD5加密后的字符串token(通过md5(secret, email, ts)得出),这样的话,用户在点击这个link后,服务器端获取相关的参数,首先校验token的有效性,通过md5(secret, 传过来的email地址,传过来的ts)与传过来的token比较,这样可以避免用户伪造ts和email;接着判断当前时间和ts的时间差是否满足一个合理的间隔(例如48h),如果一切都OK,那么就将用户设置为激活状态
这种方法目前来看基本可以满足我的需求(至于是否健壮还望各位大大指教),但是这样的话激活link就会比较长,因为需要传送3个参数进去,我参考了下很多网站发送的激活邮件,有类似我这种格式的链接,也有的非常的简短,比如V2EX网站,其激活链接格式为: http://www.v2ex.com/activate/XXXXXXXX,所以我很好奇这种方式一般都是怎么校验的呢,难道需要在用户表中新增一个字段用来保存这个字符串,然后验证的时候只要比较下即可?那这种方式代价是不是高了些?所以恳请各位大大都来介绍下你们都是如何设计这个功能的?多谢~
我目前的想法是这样的:在激活链接中传递三个参数,用户的email,发送此邮件时的时间戳ts,以及一个MD5加密后的字符串token(通过md5(secret, email, ts)得出),这样的话,用户在点击这个link后,服务器端获取相关的参数,首先校验token的有效性,通过md5(secret, 传过来的email地址,传过来的ts)与传过来的token比较,这样可以避免用户伪造ts和email;接着判断当前时间和ts的时间差是否满足一个合理的间隔(例如48h),如果一切都OK,那么就将用户设置为激活状态
这种方法目前来看基本可以满足我的需求(至于是否健壮还望各位大大指教),但是这样的话激活link就会比较长,因为需要传送3个参数进去,我参考了下很多网站发送的激活邮件,有类似我这种格式的链接,也有的非常的简短,比如V2EX网站,其激活链接格式为: http://www.v2ex.com/activate/XXXXXXXX,所以我很好奇这种方式一般都是怎么校验的呢,难道需要在用户表中新增一个字段用来保存这个字符串,然后验证的时候只要比较下即可?那这种方式代价是不是高了些?所以恳请各位大大都来介绍下你们都是如何设计这个功能的?多谢~
 | 1 loading 2014-02-18 14:17:34 +08:00 via iPhone 邮件里连接直接点,谁管长不长。 btw:你md5每次都算啊…不也存起来吗? |
 | 2 wingoo 2014-02-18 14:18:20 +08:00 新增一个验证表, 主键为guid, 其他字段可以为user_id, 过期时间等 |
 | 3 jayn1985 OP @loading 你说每次都需要计算MD5,原因是如果用户更改了link中的email或者ts,那你在server端仍然需要计算一下当前计算出的MD5值和传来的token值是否匹配吧,否则你怎么验证用户没有更改你的激活链接呢? |
 | 4 justfindu 2014-02-18 14:53:46 +08:00 @jayn1985 验证email和token search一下sql ,带上token过期时间的条件 没有就说明不是正确用户 |
 | 5 lichao 2014-02-18 14:56:01 +08:00 我觉得只需一个 token 就行,其它的都多余 |
| 8 jayn1985 OP @lichao 你的意思是加张表或者是在User表里面加个字段存这个token么?那用户激活成功了的话,这个信息之后还有用么?如果没有用的话,这样设计是不是代价高了些? |
 | 10 dorentus 2014-02-18 15:19:57 +08:00 单独加张表放 token,用完删。怕慢就用 redis 之类的存。 这个代价不高的;等你在这个地方遇到瓶颈的时候,你的系统的其它部分估计都已经遇到过 n 次瓶颈、重写多遍了…… |
| 11 jayn1985 OP @lichao 我在网上搜了相关文章,很多也都是类似你这样的设计,我很想知道这种设计的原因,是因为很难构造出一个健壮的方式来避免安全问题么?抱歉想得太多,呵呵~ |
 | 12 vob636 2014-02-18 15:37:24 +08:00 @dorentus +1用完肯定删……@jayn1985 楼上的已经很健壮了……各种token了……是在不行,你加上https…… |
| 13 jayn1985 OP @dorentus 感谢回复,加表后对其操作确实代价不大,但是我总觉得因为这么一个不算大的feature而要新增一张表,这个有点“杀鸡用牛刀”的感觉:)也许在不新增新的实体的前提下,来做这个email校验确实没有完全周到的想法(我自己设想的方法可能确实有漏洞,但是不是做安全出身的所以目前还没看出来。。) |
 | 15 family 2014-02-18 15:46:16 +08:00 via iPhone 直接加字段或表 有时间纠结的功夫多达游戏 |
 | 18 ksc010 2014-02-18 16:10:11 +08:00 突然想到一个问题,把点击放到email中 QQ这样的邮件服务商会不会为了安全原因访问这个url? 目前看来来应该没有这种情况 |
| 19 ksc010 2014-02-18 16:13:22 +08:00 也可以放到session 但是有个问题会话结束后 链接就失效了 换个浏览器也不行 |
 | 20 cevincheung 2014-02-19 01:05:02 +08:00 你的方案完全可以啊。连接直接点就是的。不用管长度。参考一下其他厂商的邮件范本就 可以了嘛。 http://domain.com/verify?email=x&ts=x&sign=x 服务端保存一个公共密钥。这样sign的值也根本不需要保存。ts可以用来判断连接是否过期,而且这个过期时间可以自己随意控制。 |
| 21 jayn1985 OP |
 | 23 lygmqkl 2014-02-19 19:54:25 +08:00 其实有没有考虑过使用user表内的一些不变元素来实现这个功能? 比如说 MD5(email.password) 在用户不修改密码的前提下,只需要增加用户的id 到 verify url 就可以了类似 lee.com/v/1/hashstring 因为在你生成验证之前用户已经保存了,可以额外增加一个字段比如 user_active = 0/1/2 0-new 1-actived 2-blocked. |
 | 24 geew 2014-02-20 09:20:42 +08:00 楼主的方法和我现在用的方法是一样的, 其实这样就够了, 达到目的就行. 然后其他的方法虽然可以让URL看起来清爽点, 但其实差不多. 比如那个建立一张表的方法, 感觉没有必要, 毕竟验证结束了就没啥用了, 感觉浪费了. PS: 这个问题真心不需要纠结.... |
| 25 geew 2014-02-20 09:24:24 +08:00 |
 | 27 KKKKale 2014-02-20 12:15:26 +08:00 自从全部使用uuid之后,更加幸福了 |
| 28 KKKKale 2014-02-20 12:15:56 +08:00 用redis缓存住token对应的uid,过期时间就好了 |
 | 29 phpcxy 2014-02-20 14:02:04 +08:00 我现在也是楼主这样的方案,邮件里面给一个按钮他点击。 |
 | 30 drivel 2014-02-20 16:16:07 +08:00 |
Select Language