我正在构建一个涉及用户注册和登录的 Web 应用程序。我正在尝试实现一个功能,使用户能够在那里检索到他们注册的电子邮件地址的密码。因此,将发送一条消息以重新输入他们的密码,或者只是在该电子邮件中提供他们的密码。我正在使用spring,是否有任何教程/文章有人展示了这个实现的例子?所有答案将不胜感激。谢谢
问问题
3989 次
2 回答
3
基本上有两种方法。
向他们发送一个到期链接,指向一个允许他们更改密码的页面,最好是在回答几个额外的安全问题之后,例如母亲的娘家姓、最喜欢的颜色、狗的名字、第一位老师……只有他们会知道,而且他们在注册时已经告诉你了。通过链接的到期和秘密问题的性质,您可以亲眼看到这是相当安全的。
向他们发送他们自己的密码。这有各种各样的安全问题。首先,你甚至不应该知道他们的密码:只知道它的哈希值;否则,您的系统会受到称为不可否认性损失的主要法律约束,您应该在靠近之前与您的公司律师讨论。其次,任何截获电子邮件的人都可以将密码用于他们自己的邪恶目的,这再次使您无法拒绝所有交易,这基本上会让您破产。
不要使用 (2) :-|
于 2013-10-05T10:23:01.560 回答
0
由于您在问题中标记了“java”,我认为此信息在这里很有用:我已经为这个用例实现了一个 JAVA 项目。它在 GitHub 上,开源。
对所有事情都有解释(如果缺少某些东西 - 让我知道......)
看看:https ://github.com/OhadR/Authentication-Flows
这是使用 auth-flows 的客户端 web 应用程序,带有所有解释的 README。它指导您实施:https ://github.com/OhadR/oAuth2-sample/tree/master/authentication-flows
于 2014-01-19T15:02:32.003 回答