通过在 Web 应用程序中使用哈希用户 ID 来防止垃圾邮件发送者

Question

我正在构建一个 Web 应用程序，允许用户向其他用户发送消息。在发送消息页面上，我当前在 URL 中包含接收者的用户 ID，以便应用程序知道将消息发送到哪里，即 example.com/send-message/user-id/1。用户 ID 是用于识别数据库中接收者的主键，

我担心垃圾邮件发送者可能会访问此页面并不断更改 URL 中的用户 ID，并很快在网站上向用户发送垃圾邮件。

我想出的解决方案是制作一个长的唯一ID（123154123412）。该号码将存储在用户数据库行中，并用于代替发送消息页面上的主键，以便垃圾邮件发送者无法通过更改 ID 轻松向大量用户发送垃圾邮件。

这种方法是否存在我可能忽略的潜在问题？

如果我在整个网站中使用唯一的 ID，它会显着降低网站速度。换句话说，使用主键搜索数据库比生成的唯一 ID 更快。

谢谢

Answer 1

您可以做的另一件事是，当会话或 IP 地址在短时间内发送过多消息时（例如，消息之间间隔 1 分钟，每 15 分钟最多 5 条消息），暂时阻止会话或 IP 地址。

Answer 2

这种做法是绝对没有用的。

只要您网站的用户允许向其他用户发送消息，垃圾邮件发送者就会使用您发明的任何 ID。

唯一的方法是限制每小时的收件人和/或消息数量。

Answer 3

我想说，允许人们在网站上任意向其他成员发送消息通常是一个坏主意（除非这是我认为网站的重点）。您可能会阻止自动垃圾邮件机器人，但有很多人愿意花钱请真人来手动发送消息。首先也是最重要的，您可能应该只允许登录的成员向以某种方式“接受”该成员的其他人发送消息——朋友，允许来自等的消息。

就使用长 UID 而言，只要您正确设置数据库，唯一的性能“打击”可能是在生成数据库时，但如果您使用它代替主键 ID，则不会减慢您的站点速度。