ASP.NET ID 2.0にはGenerateEmailConfirmationToken
が含まれており、パスワードの通知または電子メールタスクの確認用のトークンを生成するために使用できます。私は、ユーザーの暗号化されたSecurityStampを使用して作成したトークントークンがデータベースに格納されていないことを知っています。もう一度計算して検証されます。ASP.NET Identity GenerateEmailConfirmationTokenはどれくらい安全ですか?
私は電子メールの確認のために使用しています。私はトークンを確認した後にユーザーにログインしたい。これはRuby on Railsでこれまで使用してきた実用的なものです。しかし、私はこのアプローチの安全性についていくつかの留保をしています。
このトークンを確認するだけでユーザーにログインするのは安全ですか?ユーザーのメールが既に確認されている場合は、確認を拒否します。したがってこれは一度だけのことです。しかし、私はGenerateEmailConfirmationTokenAsyncのすべての内部作業を知らないので、私は確信していません。
私はそのトークンに基づいてすべてのユーザーセキュリティを実装することについて話していません。私は、アプリケーションの特定の部分とその部分の具体的な行動方針について話しています。具体的な行動方針が弱い点があると私は尋ねています。だから私は質問がより具体的な答えに値すると思う。 – infiniteRefactor