我了解,对于忘记密码的表单,从安全角度来看,最好不要透露电子邮件地址是否存在。相反,您可以发布一条消息,例如“谢谢。如果我们有使用此地址的用户,我们将发送一封电子邮件”。
在您希望确保两个用户不能使用相同的电子邮件地址注册但又不想透露用户当前是否使用电子邮件地址存在的注册表单中应该如何处理此安全问题?
问问题
255 次
2 回答
1
我从未见过拒绝承认任何用户是否拥有指定电子邮件地址的网站。通常的做法是让用户知道所提供的电子邮件地址是否与任何用户匹配。
重新表述您的第二个问题:“我如何告诉用户他们的注册请求不被允许而不告诉他们原因”?我也从未见过网站这样做。
于 2013-04-13T18:30:43.207 回答
0
用户名应该是唯一的(可能是电子邮件 - 在这种情况下,电子邮件是唯一的)此外,为了以安全的方式启用密码恢复,您应该确保每个用户在注册期间提供一个电子邮件地址(可能是不是唯一的。在这种情况下,可能同一个用户注册了多次)
在密码恢复(忘记我的密码用例)期间,用户应提供用户名,然后您将密码发送到用户在注册期间提供的电子邮件。如果用户名是电子邮件 - 请务必在用户注册期间收集其他信息。例如,电话号码。请在恢复密码前要求提供电话号码
附加提示:使用验证码。
于 2013-04-13T19:05:33.987 回答