0

更多的是理论上的问题。编写一个安全的登录系统,但我找不到重置密码 URL 过期的理由。

他们的想法是,如果有人在您的电子邮件中并想将您的密码更改为网站。URL 应该已过期。为了解决这个问题。他们可以要求对已经泄露的电子邮件地址进行另一次密码更改。

无论如何,我花时间让它过期。我认为另一个备用电子邮件地址或手机号码将是解决此问题的唯一方法。我想我欠 Kim DotCom 的钱。

4

1 回答 1

0

没有太多详细说明,我看到两个有问题的情况。

  • 用户依赖于本地存储电子邮件客户端(例如 Outlook)。他的帐户没有受到威胁,但本地存储可能会受到威胁。
  • 电子邮件帐户可能属于用户不再使用的旧服务提供商,但被盗帐户上的电子邮件仍然能够生成“有效”请求。

因此,不要在评估旧链接时考虑所有可能的故障点(您将错过一两个案例),只需为重置令牌设置一个持续时间,从而防止使用旧链接/令牌。

于 2013-05-24T20:36:46.313 回答