是否需要使电子邮件验证码失效？

嗯，电子邮件验证链接的目的是确保您实际拥有电子邮件。大多数验证链接仅包含一些秘密信息，它们会按照您的方式发送出去，只有您自己才能验证电子邮件地址。

他们更改代码的原因是因为它可能已过期。在这种情况下，您将无法激活该帐户，因此如果您想继续，他们会向您发送另一个。

如果他们不发送这样的秘密怎么办？

在这种情况下，没有什么可以阻止攻击者“验证”他们实际上无法控制的电子邮件。他们只需访问带有用户名的网址，然后激活帐户即可。

普通用户不会这样做，但垃圾邮件发送者可能会这样做。

对于蛮力： 如果机密足够随机，并且密钥空间足够大，则尝试猜测它是一个傻瓜。

我们可以假定这是一个随机的40进制char数，它为我们提供：

16**40 == 1461501637330902918203684832716283019655932542976

可能的值。可以肯定地说，在不久的将来没人会猜到这个数字。

使验证码快速失效是最佳做法，原因有很多。

如果认为使用验证码进行保护是适当的，那么使它不仅足够复杂而且在最短时间内有效也是最安全的。如果仅在所需时间（通常很短）内使代码正常工作，则可以减少有人滥用代码的风险。 （例如，有人可以通过编程方式“猜测”代码-进行此练习的时间越长，成功的机会就越大。）

此外，存储这种数据效率也不高。它仅使用一次，不包含任何实际信息，并且一旦使用就可以“扔掉”。存储任何在存储时不会增加价值的东西不是一个好习惯。

此外，用户不立即使用代码也很少见。对于在用户尝试使用时代码过期的情况，只有很小的一部分，生成新代码更有效。