我正在建立一个匿名站点,用户的帐户不能被追溯到任何实际人员(例如通过电子邮件地址)。我想听听您对身份验证的想法。如果我使用电子邮件/密码组合进行身份验证,我是否可以使用bcrypt哈希电子邮件地址和密码(我知道这是可能的,但是否实用)?如果电子邮件地址被加密,那么在搜索数据库以查找匹配项时速度会非常慢,这是真还是假?您有什么想法?还有其他想法吗?基本上,对于如何进行身份验证,我对任何想法都持开放态度,但如果使用电子邮件进行身份验证,则无法暴露或解密。谢谢!
我正在建立一个匿名站点,用户的帐户不能被追溯到任何实际人员(例如通过电子邮件地址)。我想听听您对身份验证的想法。如果我使用电子邮件/密码组合进行身份验证,我是否可以使用bcrypt哈希电子邮件地址和密码(我知道这是可能的,但是否实用)?如果电子邮件地址被加密,那么在搜索数据库以查找匹配项时速度会非常慢,这是真还是假?您有什么想法?还有其他想法吗?基本上,对于如何进行身份验证,我对任何想法都持开放态度,但如果使用电子邮件进行身份验证,则无法暴露或解密。谢谢!
我认为你的想法没有任何问题(假设您从未想过异步发送电子邮件给用户)。
登录:
忘记密码流程:在用户提交“忘记密码”表单并附带其明文电子邮件地址的那一刻,您就拥有了他的电子邮件地址。计算 eh,查找个人资料,生成一次性令牌,将其存储到个人资料中并放入邮件发送给他的电子邮件地址。然后,他可以使用该令牌定义新密码。
更改电子邮件流程:与上述类似,在表单提交时您拥有明文旧/新电子邮件地址。
注意事项: