laravel newsletter subscription을 올바르게 보호하는 방법은 무엇입니까?

Question

laravel 응용 프로그램에서 제공하는 뉴스 레터가 있습니다. 가입자는 지역을 선택하고 판매를 위해 새 주택에 대한 우편 알림을 수신 할 수있는 필터를 설정할 수 있습니다.

사용자가 쉽게 해결할 수 있도록 암호와 긴 등록 프로세스를 사용하고 싶지 않았습니다. 대신 전자 메일을받습니다. 전자 메일에는 비밀 토큰이있는 편집 링크가 있습니다. :

https://myapp.com/subscribers/42/edit?token=gwoi6n4ginagrpoargp4ar5gp14a

이는 안전한 방법으로 간주됩니다? 사용자가 링크를 클릭하면 HTTPS를 통해 암호화되므로 암호화되어 있지만 여전히 현재 브라우저 기록에 표시됩니다 ..

이렇게하는 것이 좋을지 모르겠지만 어떤 경우 개선 할 수 있습니까? ?

Answer 1

ssl 통신의 암호화 된 데이터 예 안전합니다. 하지만 제 의견에는 몇 가지 제안이 있습니다 :

주소에서 토큰 단어 1 개를 제거하십시오.

2이 링크는 사용자 편집 페이지를 직접 나타내지 않아야합니다. 대신 컨트롤러에 인수를 보내고 컨트롤러는 사용자를 클린 링크가있는 새 페이지로 리디렉션합니다. 사용자에게 권한을 부여하기 위해 페이지에 토큰을 저장하십시오.

3- 왜 더 이상 (조금 더 길어집니다!) 토큰을 생산하지 않으시겠습니까?

4- 링크를 더 안전하게 유지하려면 만료 시간이 있어야합니다. 새로운 링크는 각 뉴스 레터 메일과 함께 전송됩니다.