在"电子邮件提交"用例中验证用户

我正在构建一个系统,允许人们通过电子邮件提交文本和照片,以及网站上的标准访问.我试图权衡两种策略的安全优势,特别是用于验证用户提交的内容.这里他们如下:

基于身份验证:为每个用户创建一个秘密电子邮件地址,并将其提交给用户提交.此策略的优势在于人们可以从可能使用不同邮件帐户设置的多个设备发送

来自基于身份验证:仅接受来自用户数据库中注册的地址的电子邮件.这个想法是基于发送地址冒充注册用户是不切实际/困难的.

你能想到其他可能的解决方案吗？提出的策略对你来说最有意义吗？

我建议您不要使用基于身份验证,至少不能没有一些额外的凭据(密码等)

伪造它太容易了,如果你知道别人的电子邮件地址肯定不难.

如果您将电子邮件回复给用户进行确认,则可能会使事情变得更加困难,但要意识到您的服务最终会被用作某种垃圾邮件中继.(我可以使用伪造的FROM地址向您发送100个上传请求,然后您继续向100个确认请求的真人发送垃圾邮件)