邮箱校验应优先用 net/mail.ParseAddress 而非正则,它能正确解析带引号昵称等合法格式;验证码必须用 crypto/rand 生成以保证安全;Gmail/Outlook 发信需应用专用密码配合 smtp.PlainAuth;验证码存储推荐 Redis 并设 TTL,避免内存泄漏与分布式失效。
邮箱格式校验用 net/mail.ParseAddress 还是正则?
直接用正则匹配邮箱是常见误区。Go 标准库的 net/mail.ParseAddress 更可靠,它会尝试解析邮箱地址结构(如 "name@example.com" 或带引号的昵称),而不仅是字符串模式。但注意:它不验证域名是否存在或 MX 记录是否有效,仅做语法解析。
实际建议分两步:
- 先用
net/mail.ParseAddress检查基本格式和本地部分合法性(避免空格、控制字符等) - 再提取域名后,用
net.LookupMX查 MX 记录——这一步可选,但能筛掉大量无效域名(如@gmail.con) - 别依赖单个正则(比如
^[a-z0-9._%+-]+@[a-z0-9.-]+\.[a-z]{2,}$),它会放过"test@.com"或漏掉合法的"user+tag@example.org"
生成六位数字验证码该用 crypto/rand 还是 math/rand?
必须用 crypto/rand。验证码本质是安全凭证,math/rand 是伪随机、可预测,攻击者只要知道 seed 就能复现全部验证码序列。
生成示例:
func generateCode() string {
b := make([]byte, 6)
if _, err := crypto/rand.Read(b); err != nil {
panic(err) // 实际应返回 error
}
for i := range b {
b[i] = byte('0' + b[i]%10)
}
return string(b)
}注意点:
- 不要用
time.Now().UnixNano()做 seed 初始化math/rand—— 时间精度有限,高并发下极易重复 - 避免字符串拼接式生成(如循环调
rand.Intn(10)),每次调用都需独立读取crypto/rand - 若需字母+数字组合,用预定义字符集查表,别用
rand.Intn(62)直接映射,防止分布偏差
发送邮件时 net/smtp.Auth 怎么配 Gmail / Outlook?
Gmail 和 Outlook 已禁用“密码登录”,必须用应用专用密码(Gmail)或 OAuth2(推荐但复杂)。开发阶段最简路径是开启 Gmail 的“两步验证 + 应用专用密码”:
- Gmail 账户启用两步验证后,在 Google App Passwords 页面 生成 16 位密码
- SMTP 地址用
"smtp.gmail.com:587",认证方式用smtp.PlainAuth - 用户名填完整邮箱(如
"user@gmail.com"),密码填应用专用密码,不是账户密码 - Outlook 类似,用
"smtp-mail.outlook.com:587",同样需在 Microsoft 账户中开启应用密码
代码片段:
auth := smtp.PlainAuth("", "user@gmail.com", "abcd efgh ijkl mnop", "smtp.gmail.com")
err := smtp.SendMail("smtp.gmail.com:587", auth, "user@gmail.com", []string{"to@example.com"}, msg)常见错误:
-
535 5.7.8 Username and Password not accepted:密码错、未开两步验证、或用了账户密码而非应用密码 -
dial tcp: lookup smtp.gmail.com: no such host:DNS 问题或代理干扰,可换用1.1.1.1测试 - 发信被拒为垃圾邮件:确保
From和Reply-To域名一致,且 SPF/DKIM
记录已配置(生产环境必需)
记录已配置(生产环境必需)验证码过期与存储:用内存 map 还是 Redis?
开发阶段可用 sync.Map 存储验证码,但必须配 TTL 清理逻辑。直接存 map 不设过期会导致内存泄漏,且无法跨进程共享(部署多个实例时失效)。
更稳妥的做法:
- 用
time.Now().Add(10 * time.Minute)计算过期时间,写入结构体,读取时先比对time.Now().Before(expiry) - 生产环境务必切到 Redis:用
SET key code EX 600命令,天然支持自动过期,且支持分布式验证 - 别把验证码明文存日志或数据库——即使加密,也增加泄露面;只存哈希(如
sha256(code + salt))用于比对 - 同一邮箱频繁请求(如 1 分钟内 >3 次),应限流并记录 IP,防暴力枚举
容易被忽略的是时区和系统时间漂移:所有过期判断必须基于服务端统一时间,不能依赖客户端传来的“当前时间”。
