是的,有趣的标题无论如何在系统中的用户帐户由于密码尝试失败或密码回答尝试失败而被锁定后,解锁过程应该如何开始。您会选择以下 3 个中的哪一个,为什么?目前关注1并且用户有时讨厌该系统 :(
password reset唯一的出路。unlock account link- 使用旧密码成功登录后(但主要是因为他们无法登录 doh 而登陆这里)根据专家的说法,以上可能是我得到的最愚蠢的选择,但我是来学习的。所以告诉我正确的道路。谢谢所以
这实际上取决于系统。
强制密码重置虽然不是一个好主意。想一想有恶意用户的情况,我可以简单地尝试登录您的帐户,将您锁定,然后您必须重置才能进入。
我看到的最常见的场景类似于 ASP.NET 默认处理它的方式。您有 X 次尝试登录,然后您的帐户被锁定 Y 时间。
所以给他们 10 次尝试,然后将帐户锁定 10、20、30 分钟,然后让他们重新登录。
与第 2 点类似,您允许用户请求电子邮件以解锁帐户,但不需要密码。您依靠他们知道他们电子邮件地址的密码来确保安全,而不是依靠他们知道他们帐户的密码(正如您所说,这通常是未知的)。
我认为这取决于商业案例。
它是只能通过 Intranet 访问的业务应用程序,也可以通过带有 https 的 Internet 访问。在这种情况下,我宁愿超时,直到您的用户可以再次登录。我认为给管理员的日志条目或/和消息不是最糟糕的主意。
或者它是一个可以通过互联网访问的消费者应用程序,用户是未知的?在那种情况下,我更喜欢电子邮件。