Как аутентифицировать пользователя, который приходит на наш веб-сайт

Question

У меня есть требование, например, по ссылке «Забыли пароль». Одно электронное письмо отправляется пользователю со ссылкой, как CLICK HERE для сброса пароля. веб-сайт, имеющий 2 текстовых поля в качестве нового пароля и подтверждения пароля. Так как я знаю, что это Пользователь, который нажал до того, как забыли пароль.

Answer 1

Стандарт здесь вы создаете временный токен для сброса пароля. Вот методология.

1. Пользователь нажимает на «забыли пароль» страницу после попытки войти
2. Токен, созданный за счет и хранится в базе данных
3. Email отправляется пользователю с URI, который включает маркер. Пример: mysite.com/forgotPassword.aspx?id=EDAB19D243
4. Пользователь нажимает на ссылку по электронной почте
5. Пользователь задал вопросы безопасности из учетной записи, например, «что такое отчество вашего отца?»
6. Если пользователь успешно отвечает на вопросы безопасности, он имеет право изменить пароль

Идея здесь является многофакторный подход к убедившись, что пользователь является правильным пользователем. Положения, касающиеся безопасности:

• Токен только хорошо для определенного периода времени (указано в электронной почте)
• Токен отправляется только пользователю (не отображается на веб-странице)
• Пользователь должен ответить на другие вопросы учета - вопросы безопасности лучше, чем адрес, номер телефона, дата рождения, так как кто-то ворует личность, будет знать ответ на эти вопросы.