我在网站上有用户,他们的密码被加密(md5)并存储在数据库中。现在,我有他们的电子邮件,如果有人忘记了他的密码,我想给他发送链接以重置密码。
任何人都可以建议如何做到这一点?哪些是最佳实践?
问候,佐兰
问问题
1898 次
4 回答
3
处理密码重置的安全方法如下所示:
密码重置请求:
- 用户打开密码重置申请表并输入电子邮件地址。
- 您的应用程序检查电子邮件是否存在于您的数据库中。如果它存在,它会创建一个令牌,该令牌应该是随机的,而不是源自用户 ID 或时间戳等信息。令牌的哈希将与用户 ID 和到期日期一起存储在数据库中的单独表中。每封电子邮件都会将带有原始令牌的链接发送给用户。
- 该应用程序显示电子邮件已发送的确认信息。此页面可以包含电子邮件地址,因此用户可以检查他是否有错字(毕竟没有信息是否在数据库中,因此攻击者无法测试它的存在)。
重设密码:
- 用户单击链接并打开重置表单。在此表格上,他可以输入两次新密码。令牌必须作为隐藏的输入标签包含在表单中。
- 提交表单后,应用程序对令牌进行哈希处理并在数据库中搜索这样的令牌哈希。如果匹配且未过期,则可以允许用户更改密码。最后令牌应该被标记为已使用,我自己更喜欢保留条目,所以当他再次单击链接时,我可以通知用户令牌已被使用。
您可以使用不带盐的 SHA512 之类的哈希算法对令牌进行哈希处理。如果令牌非常强(最小长度为 20,AZ 为 0-9),这是安全的。从理论上讲,您必须在将此类哈希输入数据库之前检查它是否已经存在,实际上这可以忽略不计。
于 2015-07-07T20:17:35.873 回答
2
您应该使用散列随机字符串发送电子邮件mail()并将其添加到数据库中。电子邮件应包含类似“domain.com/forgot.php?h=HASHEDSTRING”的链接。在该页面中,您应该检查哪个用户拥有该散列字符串并输出一个字段供他们重置密码。
于 2012-08-10T10:00:11.760 回答
1
在数据库中弹出一个相当唯一的列,并且是一个随机生成的令牌字符串(很长)。当用户请求重置密码时,请通过电子邮件向他们发送该令牌以进行验证。通过链接(又名 GET)返回该令牌将确认用户有权访问电子邮件地址,并允许他们重置密码。
于 2012-08-10T09:59:18.977 回答
0
您可以执行以下操作,
如果用户忘记了他的密码,允许他输入注册的电子邮件。
发送带有重置密码链接的电子邮件,该链接应包含 md5(一些数据)例如:www.ex.com/md5_data
在发送邮件之前,输入的检查电子邮件已存在,如果存在,请获取用户 ID,存储用户 ID,您与邮件一起发送的 md5(数据)
当用户单击发送到邮件的链接时,获取 url 数据并检查表中是否存在 md5 数据,如果存在则获取用户 ID 并允许他使用用户 ID 设置新密码和更新密码,并从表中删除 md5 数据所以如果他再次单击该链接,它应该不起作用。
于 2012-08-10T10:05:45.517 回答