1
我們正在設置一項功能,以便用戶在無法訪問其帳戶時重置密碼。我們要求提供他們的電子郵件地址(他們用於登錄該網站),向他們發送一封帶有獨特鏈接的電子郵件。重置密碼功能的功能(一鍵式,一次使用,24小時,???)
的問題是:
- 應該鏈接到期的首次點擊或應鏈接首次使用期滿(即,他們成功地重新設置自己的密碼)?
- 該鏈接是否應具有24小時有效期(或類似情況)?
- 用戶在點擊該鏈接後是否應該登錄?
A
回答
1
- 鏈接應該到期。如果用戶不知何故最終需要密碼重置指導並希望稍後返回,他們應該能夠。
- 這就是說重置應該最終到期,48小時?
- 是的,他們應該在密碼重置後登錄,否則您的用戶在您的網站上執行的操作會有另一個令人沮喪的步驟。
2
鏈接在密碼更改後應該過期。如果您在第一次點擊時鏈接過期,可能會導致問題。假設我的互聯網連接不好,並且網頁沒有完全加載到我的瀏覽器。我重新加載頁面,並說鏈接已過期。我不會很高興看到這一點。
是的,你應該限制鏈接到合理的時間。 24小時看起來足夠合理。如果您不限制鏈接生存期,首先您必須永久存儲生成的ID,其次,您保持鏈接活躍的時間越長,鏈接將被攻擊者竊取的概率越高,這將導致竊取帳戶。
您應該讓用戶只有在用戶更改他/她的密碼後。如果你只是登錄他們,他們可能會決定他們不必再更改密碼。通過這種方式,他們可以永久登錄到系統中,而無需更改/知道密碼。之後,他們已經成功地重置其密碼
相關問題
- 1. Joomla 3.3禁用「重置密碼」功能
- 2. 重構此塊密碼鍵控功能
- 3. 使用功能接口重試一次
- 4. 我的功能只能使用一次
- 5. 創建重置Azure AD密碼功能
- 6. 如何保護重置密碼功能?
- 7. 只能使用一次功能
- 8. 功能僅一次
- 9. 一次又一次地調用功能
- 10. R圓形黃土功能超過24小時(一天)
- 11. JMeter唯一一次功能
- 12. 使功能更改密碼
- 13. 如何在Web API中使用重置密碼功能2
- 14. jquery代碼塊只能成功一次
- 15. 功能只執行一次
- 16. 只執行一次功能
- 17. jquery一鍵雙擊功能
- 18. 一鍵 - 兩個功能
- 19. NHibernate的MySQL密碼功能
- 20. 如何使我的密碼輸入密碼重置功能安全?
- 21. Azure功能 - 功能鍵
- 22. 的功能得到調用一次
- 23. 當使用Python按鍵時在功能之間切換功能
- 24. 功能只能工作一次 - C
- 25. 登錄功能只能工作一次
- 26. 功能只能工作一次
- 27. iScroll重置功能
- 28. 的jQuery/JavaScript的替換功能只能使用一次
- 29. 密碼重置功能Django-Registration-Redux應用程序
- 30. 更改密碼功能
@JiminyCricket - 用戶在「點擊」鏈接時是否應該登錄(而不是在完成該步驟之後)? @Alex – siliconpi 2011-06-04 02:05:52
是這就是我的意思。上面編輯,謝謝 – JiminyCricket 2011-06-04 02:13:03
@JiminyCricket - 在你的觀點和@Alex的點之間撕裂... – siliconpi 2011-06-04 02:16:40