更改密码与重置密码[关闭]答案

【问题标题】：Change password vs reset password [closed]更改密码与重置密码[关闭]
【发布时间】：2013-10-24 02:42:00
【问题描述】：

我有一个页面，如果用户忘记了自己帐户的密码，他们可以在其中请求密码重置链接。如果用户已经登录到他们的帐户，我还想为用户创建一种更改密码的方法。为每个这些不同类型的密码重置创建单独的页面会更好，还是我应该根据用户是否登录来更改表单？真的有关系吗？有通用标准吗？

【问题讨论】：

这个话题更适合ux.stackexchange.com。
我不同意，因为我的问题的意图不是哪个对用户更友好，而是从开发的角度来看什么是更标准的做法。我的意图是坚持普遍接受的编程标准，并使事情尽可能安全。我可以看到为什么这个问题可能被视为一个 ux 问题，我应该让我的问题的原因更加明显。谢谢

标签： php login password-recovery

【解决方案1】：

创建单独的页面。重置链接（当用户未登录时）通常使用唯一的 GET 值。当用户要求将链接发送给他们时，会将一个值插入到数据库中。当有人访问重置页面时，服务器会检查输入到 URL 中的 GET 值。如果 GET 值与数据库中的唯一值匹配，则该人有机会输入新密码。数据库中的唯一值通常设置为很快过期。这可以防止人们使用蛮力重置其他人的密码。

您不想将上述内容与用户登录时启动的简单密码更改混为一谈。

【讨论】：

感谢您的意见。您上面提到的忘记密码过程的密码重置正是我所做的工作。我很高兴我做对了。我在想也许我会创建一个更新帐户信息页面，如果需要，用户可以在其中更改信息，包括他们的密码。
更改密码和重置密码是两个截然不同的事情。可以在用户未登录时重置密码。只有在用户登录并且知道当前密码时才能更改密码。