【发布时间】:2014-10-01 02:48:30
【问题描述】:
我有一个问题。我正在实施密码恢复,然后我想:“如果'陌生人'进行未经授权的密码恢复,更改别人的密码怎么办?” 所以,我的第一个决定是:我将在“用户”表中设置两个字段,分别称为“密码”和“临时密码”。如果真实用户要求恢复密码,新的随机密码将存储在“temp_password”中,并发送一封电子邮件。这样,恶意用户不会更改其他任何人的密码,并且电子邮件所有者可以拒绝密码更改尝试。那正确吗?预先感谢您的帮助。 问候
【问题讨论】:
-
是的。这是一个很好的方法。请参阅此处了解更多信息:stackoverflow.com/questions/4763719/php-password-recovery
-
为什么不直接生成随机密码并在用户通过电子邮件确认时替换密码?这样你就不需要两个字段,你只需要一个密码字段。
-
此外,您通常希望密码具有历史记录(即,能够禁止该用户以前使用过的密码),这意味着您通常需要一个单独的 table 用于密码...在这一点上,旧密码无论如何都不会消失。
-
您不应生成新密码或通过电子邮件发送新密码 - 只能是允许用户自行重置密码的临时令牌。您可以通过电子邮件发送此信息,如果有人在以后发现它,它将无法使用。一旦他们点击链接,他们将能够更新密码 - 这将防止其他任何人重置其他用户的密码。
标签: php mysql sql security password-recovery