адрес электронной почты с uid

Question

У меня есть двухэтапная форма. Второй шаг довольно длительный, и посетитель может захотеть завершить его позднее. То, что я сделал это генерировать идентификатор пользователя с sha1, используя комбинацию деталей: Имя, адрес электронной почты, соль, и я по электронной почте посетителю ссылку, например:

http://www.mysite.com/form/step2/[sha1 UID]

поэтому при нажатии ссылки они могут вернитесь ко второму этапу формы ...

Я понимаю, что это не супер безопасно, но приемлемо ли это? если нет, то какие улучшения можно сделать?

Answer 1

Пока ваша связь немного случайна, люди не смогут «угадать» ее; поэтому, вы должны быть в порядке, я полагаю, если ваша «соль» не одинакова для всех (я думаю, это какие-то случайные данные, которые генерируют для каждого пользователя?)

Возможно, у вас может быть «пароль» на первом шаге формы, и если пользователи придут на второй шаг формы по ссылке в электронном письме, они должны повторно ввести этот пароль, чтобы подтвердить, что они это знают?
Я не уверен, что это действительно необходимо, но оно может быть замечено вашими пользователями в качестве меры безопасности (и некоторым людям нравится, когда сайты, которые они используют, (или, по крайней мере, похожи) безопасны).

Еще одна приятная вещь, связанная с тем, что ссылка будет действительна только пару дней, может быть - если это подходит с потребностями вашего приложения.