Como previous discussed, los correos electrónicos de confirmación deben tener un código único (prácticamente) inaplicable, esencialmente un one-time password, en el enlace de confirmación.¿UUID.randomUUID() es adecuado para usar como contraseña de un solo uso?
The UUID.randomUUID() docs dicen:
El UUID se genera utilizando un generador de números aleatorios criptográficamente fuerte seudo .
¿Esto implica que el generador aleatorio UUID en una JVM correctamente implementada es adecuado para su uso como el único OTP (prácticamente) inaplicable?
Usted puede estar interesado en [mi respuesta a otra pregunta,] (http://stackoverflow.com/a/41156/3474) que le dará más seguridad con menos dígitos ... si lo que importa. – erickson
Consulte también la discusión aquí: https://security.stackexchange.com/questions/890/are-guids-safe-for-one-time-tokens –