0

当用户在登录时遇到困难时,他们会输入他们的电子邮件地址来恢复他们的密码。我的 php 发送一个临时密码(随机长数字,在 db 中加密)。但是,如果它是临时密码,我希望他们被重定向到一个页面以更改他们的密码。

我怎么知道它是否是临时密码?什么是最好的方法+安全?

谢谢

4

2 回答 2

6

为数据库中的每个用户保留一个标志,指示他们的密码是否是临时的。

于 2010-11-27T11:46:41.460 回答
1

一种明显的方法是将其维护在 中db,在这种情况下,您必须确保在用户成功更改密码后清除数据库。另一种方法是向用户发送一个秘密链接,供用户重置密码,而不是通过电子邮件发送在固定时间间隔内到期的密码(取决于数据的请求和敏感性)。在某些情况下,另一种方法更安全一些。

于 2010-11-27T12:02:34.137 回答