У меня есть требование, например, по ссылке «Забыли пароль». Одно электронное письмо отправляется пользователю со ссылкой, как CLICK HERE для сброса пароля. веб-сайт, имеющий 2 текстовых поля в качестве нового пароля и подтверждения пароля. Так как я знаю, что это Пользователь, который нажал до того, как забыли пароль.Как аутентифицировать пользователя, который приходит на наш веб-сайт
0
A
ответ
2
Стандарт здесь вы создаете временный токен для сброса пароля. Вот методология.
- Пользователь нажимает на «забыли пароль» страницу после попытки войти
- Токен, созданный за счет и хранится в базе данных
- Email отправляется пользователю с URI, который включает маркер. Пример: mysite.com/forgotPassword.aspx?id=EDAB19D243
- Пользователь нажимает на ссылку по электронной почте
- Пользователь задал вопросы безопасности из учетной записи, например, «что такое отчество вашего отца?»
- Если пользователь успешно отвечает на вопросы безопасности, он имеет право изменить пароль
Идея здесь является многофакторный подход к убедившись, что пользователь является правильным пользователем. Положения, касающиеся безопасности:
- Токен только хорошо для определенного периода времени (указано в электронной почте)
- Токен отправляется только пользователю (не отображается на веб-странице)
- Пользователь должен ответить на другие вопросы учета - вопросы безопасности лучше, чем адрес, номер телефона, дата рождения, так как кто-то ворует личность, будет знать ответ на эти вопросы.
Смежные вопросы
- 1. Как увидеть каждый пакет, который приходит на наш компьютер?
- 2. Как аутентифицировать пользователя на Android?
- 3. Как аутентифицировать пользователя GetGlue?
- 4. Как аутентифицировать пользователя
- 5. Как аутентифицировать пользователя на странице выхода
- 6. Как аутентифицировать пользователя в активном каталоге, который должен изменить пароль?
- 7. Аутентифицировать пользователя ContentService
- 8. Как я могу аутентифицировать пользователя?
- 9. Как аутентифицировать пользователя в Django?
- 10. DataSet, который приходит как пустой
- 11. Devise + RSpec: как аутентифицировать пользователя?
- 12. Как аутентифицировать пользователя без пароля
- 13. Как аутентифицировать пользователя в ASP.NET
- 14. Как аутентифицировать пользователя в ONVIF?
- 15. Аутентифицировать пользователя вручную
- 16. Руководства пользователя Аутентифицировать
- 17. FOSUserBundle аутентифицировать выбранного пользователя
- 18. C# - Аутентифицировать пользователя AD на общедоступной странице
- 19. JSch аутентифицировать пользователя на сервере SSH
- 20. Yii Framework: аутентифицировать пользователя на многих уровнях
- 21. Как я могу аутентифицировать пользователя Twitter?
- 22. аутентифицировать пользователя, перенаправить запрос XHR
- 23. Как аутентифицировать пользователя с помощью удаленного API?
- 24. Как аутентифицировать пользователя в wordpress [через android]
- 25. Как аутентифицировать пользователя против AD в Java
- 26. Аутентифицировать пользователя для Win 10 UWP
- 27. sql/php - аутентифицировать логин пользователя
- 28. Как аутентифицировать учетные данные пользователя SharePoint
- 29. Как аутентифицировать пользователя веб-сайта через iphone
- 30. Как повторно аутентифицировать пользователя на Firebase с помощью Google Provider?
У вас есть два варианта: a) потребовать некоторую информацию, которую будет знать только пользователь (например, какой-то личный документ) или b) отправить уникальную ссылку на каждый запрос с запросом забытого пароля (это то, что большинство сайты делают) – tucaz
@tucaz Или оба, иногда они запрашивают личные данные перед отправкой ссылки. – ediblecode
@jumpingcode уверен! почему нет? – tucaz