我想自定义我们电子邮件通讯中的“取消订阅”链接,以便只需单击即可将收件人删除。目前,这些链接只是指向一个通用页面,在该页面上,用户必须输入其电子邮件地址并选择他们想要取消订阅的通讯。
看起来这应该很简单,即只需将电子邮件地址和通讯ID包含在URL参数中即可。但是,当我查看我订阅的列表的示例时,许多不包括可识别的地址,并且大多数似乎在参数中使用了类似guids和/或哈希值的内容。从这个角度看,我应该对某些信息进行哈希处理或其他编码以防止滥用取消订阅表单。
所以我的问题实际上是关于最佳实践而不是重新发明轮子。是否有一种标准的处理此类功能的方法?更具体地说,是否有理由不将收件人的电子邮件地址作为URL的一部分?这似乎非常简单,感觉像是我忽略了什么。
http://yourserver.com/unsubscribe/<encoded-email>/<expiration>/<signature>
<signature>类似于HMAC(secretkey, "<encoded-email>/<expiration>")。Encoded-email可以是电子邮件的URL编码,也可以是实际加密(AES+CBC+Base64或类似方式)的版本。使用完全加密似乎没有什么用处-因为接收此内容的人已经有自己的电子邮件地址了。
这种签名方案的优点在于不需要任何数据库存储,同时能够防止恶意取消订阅。
另外(或以上方案的补充),您可以发送确认邮件以确认用户的意图。这样可以避免用户转发邮件时出现问题。
在通讯录中嵌入电子邮件地址是不安全的。不确定你的情况如何,但许多通讯录最终都会被归档在网络上。有些垃圾邮件机器人专门从邮件列表归档中收集地址。
电子邮件是更安全的技术。设置一个用于退订的邮件帐户并从邮件头获取电子邮件地址。如果您使用任何邮件列表软件,它应该已经处理好这个问题。
我在一个Web应用程序中使用了一种相对简单的方法,但我不确定它是否足够高效和安全,以满足其他Web应用程序的需求。
在我的应用程序中,当用户点击取消订阅链接时,我会将他们转发到我的服务器上的一个页面,该页面具有查询字符串,该查询字符串是用户电子邮件地址和其在我的DB中的唯一ID的组合(最好都加密)。
然后,在我的页面的页面加载函数中,首先我会解密 电子邮件地址,然后检查电子邮件地址是否存在于我的DB中,如果答案为TRUE,则检查ID和电子邮件地址是否相关,最后根据其他标准删除用户。
我认为这样做可以完成工作,而无需向DB输入任何额外的数据。
现在我正在寻找一种方法来确定点击链接的人是否是我发送电子邮件的第一手人,还是电子邮件已被转发给他/她。这样,除了真正的用户之外,没有人可以(至少很容易地)取消订阅他/她!
在最终取消订阅流程之前询问安全问题是我目前考虑过的一件事情。
我为每个电子邮件地址分配一个唯一的32字符标识符字符串(使用MySQL:MD5(UUID())),并仅在退订链接中提交该标识符。
http://www.foo.com/unsubscribe.asp?ID=1234
然后取消订阅我发送到1234的电子邮件地址。