【发布时间】:2017-01-27 15:58:00
【问题描述】:
使用 SMS 方法找回用户忘记密码的最佳程序是什么? 换句话说,我应该从数据库中发送和检索什么?
【问题讨论】:
【发布时间】:2017-01-27 15:58:00
【问题描述】:
你不应该知道,因为你也不应该知道他们的密码。您应该只知道他们密码的加盐哈希,这足以检查他们是否知道,但不需要您实际告诉他们。
您也不应该通过短信发送密码。它不安全,可以被手机上的任何应用程序读取。可以接受的是通过 SMS 发送链接或确认码,允许用户将其密码重置为新密码,前提是他有一些关于该帐户的其他信息(例如用户名或与该帐户匹配的 cookie提出了重置请求)。
您不应该通过短信发送重置帐户所需的所有信息。换句话说,不要同时通过短信发送用户名和密码/重置代码,因为如果他的短信被盗,则帐户被盗。
【讨论】: