如何实现QueryString身份验证

你 将 如果你想让人们在不输入密码的情况下登录,就必须稍微牺牲你的安全性。请注意,即使您可以访问密码(如您的示例中所示),您也必须将其嵌入到以明文传输的邮件消息中。

您可以创建一个与每个用户和消息关联的guid,并将其附加到URL,并允许它自动登录。

您可以隔离权限,以便通过新闻稿guid链接登录 只有 允许用户管理订阅,但参与论坛仍然需要真正的密码登录。在这种情况下,如果有人从邮件消息中访问到一个guid,那么破坏的破坏是非常有限的。

使用包含访问令牌的加密cookie怎么样? 此cookie将在通过单独页面成功进行身份验证后传递。

这种令牌也可以是URL查询字符串的一部分。

另外,您可以考虑使用安全的HTTPS而不是HTTP。

不能插入与密码哈希值绑定的加密用户名吗?

我的意思是,加密并编码用户名,使其始终为特定长度,或者在其中包含已知的中断字符,然后附加密码哈希值。这样,您就可以轻松地分离查询字符串,同时仍然安全地对用户名和密码进行编码。直接比较散列值就足够了,而不加密的解码用户名则允许访问。