ASP.NET Identity 2.0包含GenerateEmailConfirmationToken,可用于生成提醒密码或验证电子邮件任务的令牌。我知道tis令牌是使用用户的SecurityStamp加密创建的,它没有存储在数据库中;通过再次计算来验证它。
我正在使用它进行电子邮件验证。我想在验证令牌后登录用户。这是我以前在RubyonRails上使用过的一个实践。然而,我对这种方法的安全性有一些保留意见。
仅通过验证此令牌登录用户是否安全?如果用户电子邮件已经验证,我将拒绝验证;因此,这将是一次性的事情。但我不能确定,因为我不知道GenerateEmailConfirmationTokenAsync的所有内部工作。
令牌只是增强安全性的一种方法。它只是在一定程度上是安全的,所以有更多的方法来验证和授权总是很好的