【发布时间】:2020-03-19 20:41:41
【问题描述】:
我想问一些关于密码安全的问题。在我的软件中,管理员可以创建一个新用户来设置密码和用户名。我认为在电子邮件中以纯文本形式发送密码不是一个好主意,因此我正在考虑发送一个链接,将用户重定向到可以设置密码的页面。此链接也应在几个小时后过期。在我的登录表单上,我也有“忘记密码”选项,如何防止用户在创建新密码之前不使用它?你会怎么做?
【问题讨论】:
标签: passwords
我想问一些关于密码安全的问题。在我的软件中,管理员可以创建一个新用户来设置密码和用户名。我认为在电子邮件中以纯文本形式发送密码不是一个好主意,因此我正在考虑发送一个链接,将用户重定向到可以设置密码的页面。此链接也应在几个小时后过期。在我的登录表单上,我也有“忘记密码”选项,如何防止用户在创建新密码之前不使用它?你会怎么做?
【问题讨论】:
标签: passwords
密码重置链接在技术上与注册链接完全相同,两者都依赖于只有电子邮件地址的所有者才能阅读链接的“事实”。因此,当用户尚未登录时,没有理由阻止密码重置。
但通常的工作流程略有不同,通常用户第一次接触网站并在注册页面上要求输入密码。
【讨论】: