「メール投稿」ユースケースでユーザーを確認する

Question

私は、ウェブサイトの標準アクセスに加えて、電子メールでテキストや写真を送信できるシステムを構築しています。私は特に、ユーザーからの投稿を確認するための2つの戦略のセキュリティ上の利点に重点を置いています。

• ベース認証：ユーザーごとに秘密のメールアドレスを作成し、提出するためにユーザーに提示します。この戦略には、さまざまなメールアカウントを使用して複数のデバイスから送信できる利点があります。
• ベースの認証：ユーザーデータベースに登録されているアドレスからの電子メールのみを受け入れます。その考えは、送信アドレスに基づいて登録ユーザを偽装することは非現実的/難しいという考え方です。

他の解決策は考えられますか？どの戦略が提案されたのがあなたにとって最も理にかなっていますか？

Answer 1

あなたが誰かの電子メールアドレスを知っていれば、私はあなたが、少なくともではないいくつかの追加の資格情報（パスフレーズなど）なしで、ベースの認証から、使用しないことを

It's way too easy to forgeを提案し、確かに難しいことではないでしょう。

確認のためにメールを返信すると、少し難しくなることがありますが、サービスがスパムリレーの一種として使用される可能性があります。 （私は偽造されたFROMアドレスであなたに100のアップロード要求を送ることができ、100人の確認要求で実際の人に迷惑メールを送ります）

Answer 2

より良いオプションは登録されたメールアドレスを確認することですが、ユーザに知られている電子メールの件名内のコード。こうすることで、アドレスから電子メールを偽造する場合でも、受信メールを認証するための鍵が必要になります。

Answer 3

私は鍛造を避けるために、 "確認" +確認と一緒に行きます。

I.e.電子メールを受信しますが、件名（または本文）の認証トークンを使用して「送信元」アドレスに返信してください。ユーザーは返信が必要か、または送信を確認するためにリンクをクリックします。

あなたは確認後にのみ投稿します。