在我们的网站上,我们根据用户的私人信息(通过表格提供)向他们提供模拟。我们希望允许他们稍后再获得其模拟结果,但又不必强迫他们创建登录名/密码帐户。
我们已经考虑过向他们发送带有链接的电子邮件,他们可以从中获取结果。但是,自然地,我们必须保护此URL,因为私有数据受到威胁。
因此,我们打算在URL中传递令牌(如字母和数字的40个字符的组合,或MD5哈希),并使用SSL。
最后,他们会收到这样的电子邮件:
嗨,
在https://www.example.com/load_simulation?token=uZVTLBCWcw33RIhvnbxTKxTxM2rKJ7YJrwyUXhXn上获取结果
你怎么看待这件事?它足够安全吗?对于代币生成,您有什么建议?如何在https请求中传递URL参数呢?