From 022a497dee7d0cbdc9ad9cd90ac3e691584282ed Mon Sep 17 00:00:00 2001
From: Gerrit User 1039237 <1039237@d5d70762-12d0-45a1-890d-524b12d3f735>
Date: Sun, 1 Feb 2026 09:52:08 +0000
Subject: [PATCH] Create change
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

GitHub Pull Request: https://github.com/bs-community/blessing-skin-server/pull/676

修复邮箱验证链接安全问题

@shhzhang 发现当前邮箱验证链接存在以下安全问题：

1. 验证链接永不过期
2. 验证链接仅对用户ID进行了签名

其中问题2比较严重，如果用户在收到验证链接后故意不完成验证，又把邮箱改成其他任意邮箱，之前收到的验证链接仍然能继续使用，从而可以绑定任意邮箱。

#675 的修复似乎仅在签名中增加了时间戳，只解决了问题1，且修复方式较为复杂，本 PR 使用 `temporarySignedRoute` 进行修复。

Patch-set: 1
Change-id: Id072e2b161184ae53d3e7af292a57dd456017683
Subject: fix: add missing Carbon import in SendEmailVerification listener
Branch: refs/heads/dev
Status: new
Topic:
Commit: 2b1ee0344e4b8725de50496fba183f5f8a5ad2e8
Tag: autogenerated:gerrit:newPatchSet
Groups: 2b1ee0344e4b8725de50496fba183f5f8a5ad2e8
Private: false
Work-in-progress: false