确认电子邮件链接提交 ID 的最佳方式

Question

我有一个网站向某人发送确认电子邮件。

现在，在电子邮件中，我希望有一个链接，用户必须单击以确认他收到了邮件。

我想将用户的密码（或一些随机代码）包含到确认地址中，这样用户就不需要再次手动输入它，但如果我这样做，密码最终将出现在浏览器历史记录中，并且日志文件。

有没有其他方法可以在电子邮件中获取确认链接以发送用户名和密码等信息，而不会以某种方式最终出现在链接中？
例如，是否可以在电子邮件中包含输入表单并以 POST 而不是 GET 方式发送密码？

Answer 1

通常的工作方式是确认电子邮件包含一个链接，其中包含某种 GUID（全局唯一标识符）。 GUID 与用户的帐户相关联。 单击该链接时，Web 应用程序只需设置确认标志并使用 GUID（而不是通常的用户名和密码组合）让用户登录。

Answer 2

根据用户的 id 和当前时间计算十六进制摘要（例如 md5）。 将此代码保存到数据库中，或将其作为文件名写入一个文件，并包含用户的 ID 和电子邮件地址。

设置一个 http 处理程序（cgi、php、servlet 等）来接收基于 URI 的 GET 请求，该 URI 类似于“/confirm_email/{hexdigest}”或“/confirm_email.php?code={hexdigest}”

当用户需要确认他们的电子邮件时，发送一个指向上述包含摘要的 servlet 的链接。

当有人链接到此 URI 时，检索具有匹配摘要的数据库记录或文件。 如果找到，则包含的电子邮件地址现已得到验证。

如果你想让它更强大：当用户验证他们的电子邮件时，将十六进制摘要更改为电子邮件地址本身的哈希值，不加盐。 然后您可以测试某人的电子邮件是否已更改并需要重新验证。

Answer 3

您可以在电子邮件中传递 GUID。 该特定 GUID 必须与用户相关联。 然后，当用户单击链接时，GUID 会发送回应用程序，并可作为查询字符串进行捕获。 提取 GUID 作为用户已批准的更新。