重置密码功能的功能(一键单击,一次使用,24小时,???)

|| 我们正在设置一项功能,使用户在无法访问其帐户时可以重置密码。我们要求他们提供电子邮件地址(用于登录网站),并向他们发送包含唯一链接的电子邮件。 问题是: 链接应在首次单击时过期还是应在首次使用时过期(即,他们成功重置了密码)? 链接是否应具有24小时有效期(或类似时间)? 用户单击该链接后是否应该登录?     
2020-01-22 3 条评论
分享

没有找到相关结果

    已邀请:

    bab

             他们成功重置密码后,该链接应失效。如果用户最终以某种方式需要密码重置方面的指导并希望稍后返回,则他们应该能够。 话虽这么说,重置应该最终在48小时后到期? 是的,他们应该在密码重置后登录,否则用户在执行他们在您网站上所做的工作时,还有另一个令人沮丧的步骤。     
    2020-01-22 0 0
    分享

    蜗仓馈

             更改密码后,链接应失效。如果您在第一次单击时使链接过期,则可能会导致问题。假设我的互联网连接状况不佳,该页面没有完全加载到我的浏览器中。我重新加载页面,并说链接已过期。我不会很高兴看到这个用户。 是的,您应该将链接限制为合理的时间。 24小时看起来足够合理。如果不限制链接的生存期,则首先必须永久存储生成的ID,其次,使该链接保持活动状态的时间越长,攻击者盗窃链接的可能性就越大,这将导致帐户被盗。 只有在用户更改了密码后,才应允许用户进入。如果您只是登录,他们可能会决定不再需要更改密码。这样,他们可以永久登录系统,而无需更改/知道密码。     
    2020-01-22 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.034801959991455