无需输入电子邮件即可重置密码（ASP.NET 身份）

Question

当前的 ASP.NET Identity 密码重置（通过电子邮件验证）需要用户输入电子邮件并重置新密码。但是，在大多数密码重置的情况下，只需要一个新密码。这怎么可能？

我通过获取邮件发现用户id，例如：

var user = await UserManager.FindByNameAsync(model.Email);

是否可以直接从密码重置的 CallbackUrl 中获取用户 ID，因为它包含用户 ID？还是有更好的替代方法？

Answer 1

我过去处理此问题的方法是将重置密码 URL 与重置密码函数关联起来并设置超时。

工作流程：

用户点击忘记密码 > 发送包含 GUID 链接的电子邮件 > 电子邮件所有者点击链接 > asp.net 页面从 URL 读取 GUID > 页面检查请求是否仍在超时限制内 > 用户输入新密码 &确认。

Answer 2

您将如何验证尝试重设密码的人是为其完成密码重设的帐户的所有者？需要用户名或电子邮件才能知道您正在为谁重置密码，并且发送到电子邮件的密码重置链接是一项安全要求，而不仅仅是一项“功能”。

强烈推荐阅读该主题（不长，但非常有用）Troy Hunt: Everything you ever wanted to know about building a secure password reset feature