Как previous discussed, электронные письма с подтверждением должны иметь уникальный (практически) недопустимый код - по существу one-time password - в ссылке для подтверждения.UUID.randomUUID() подходит для использования как одноразовый пароль?
The UUID.randomUUID() docs говорят:
идентификатор UUID генерируется с использованием криптографически сильного псевдослучайного числа генератора .
Означает ли это, что случайный генератор UUID в правильно реализованной JVM подходит для использования в качестве уникального (практически) недопустимого OTP?
Вы можете быть заинтересованы в [мой ответ на другой вопрос] (http://stackoverflow.com/a/41156/3474), который даст вам больше безопасности с меньшим количеством цифр ... если это имеет значение. – erickson
Также см. Обсуждение здесь: https://security.stackexchange.com/questions/890/are-guids-safe-for-one-time-tokens –