2

我有一个页面,如果用户忘记了其帐户的密码,他们可以在其中请求密码重置链接。如果用户已经登录到他们的帐户,我还想为用户创建一种更改密码的方法。为每个这些不同类型的密码重置创建单独的页面会更好,还是我应该根据用户是否登录来更改表单?真的有关系吗?有通用标准吗?

4

1 回答 1

3

创建单独的页面。重置链接(当用户未登录时)通常使用唯一的 GET 值。当用户要求将链接发送给他们时,会将一个值插入到数据库中。当有人访问重置页面时,服务器会检查输入到 URL 中的 GET 值。如果 GET 值与数据库中的唯一值匹配,则该人有机会输入新密码。数据库中的唯一值通常设置为很快过期。这可以防止人们使用蛮力重置其他人的密码。

您不想将上述内容与用户登录时启动的简单密码更改混为一谈。

于 2013-10-24T02:50:48.417 回答