我們正在設置一項功能,以便用戶在無法訪問其帳戶時重置密碼。我們要求提供他們的電子郵件地址(他們用於登錄該網站),向他們發送一封帶有獨特鏈接的電子郵件。重置密碼功能的功能(一鍵式,一次使用,24小時,???)
的問題是:
- 應該鏈接到期的首次點擊或應鏈接首次使用期滿(即,他們成功地重新設置自己的密碼)?
- 該鏈接是否應具有24小時有效期(或類似情況)?
- 用戶在點擊該鏈接後是否應該登錄?
我們正在設置一項功能,以便用戶在無法訪問其帳戶時重置密碼。我們要求提供他們的電子郵件地址(他們用於登錄該網站),向他們發送一封帶有獨特鏈接的電子郵件。重置密碼功能的功能(一鍵式,一次使用,24小時,???)
的問題是:
鏈接在密碼更改後應該過期。如果您在第一次點擊時鏈接過期,可能會導致問題。假設我的互聯網連接不好,並且網頁沒有完全加載到我的瀏覽器。我重新加載頁面,並說鏈接已過期。我不會很高興看到這一點。
是的,你應該限制鏈接到合理的時間。 24小時看起來足夠合理。如果您不限制鏈接生存期,首先您必須永久存儲生成的ID,其次,您保持鏈接活躍的時間越長,鏈接將被攻擊者竊取的概率越高,這將導致竊取帳戶。
您應該讓用戶只有在用戶更改他/她的密碼後。如果你只是登錄他們,他們可能會決定他們不必再更改密碼。通過這種方式,他們可以永久登錄到系統中,而無需更改/知道密碼。之後,他們已經成功地重置其密碼
@JiminyCricket - 用戶在「點擊」鏈接時是否應該登錄(而不是在完成該步驟之後)? @Alex – siliconpi 2011-06-04 02:05:52
是這就是我的意思。上面編輯,謝謝 – JiminyCricket 2011-06-04 02:13:03
@JiminyCricket - 在你的觀點和@Alex的點之間撕裂... – siliconpi 2011-06-04 02:16:40