ASP MVC 2 Забыли пароль

Question

Я работаю над реализацией функции «Сброс/Забытый пароль» в веб-приложении ASP.Net MVC 2.

Я прочитал несколько постов на здесь, которые дают по существу этих шагов: Треск

Пользователя «сбросить» пароль.

Пользователь запрашивается по электронной почте.

Пользователь вводит электронную почту и пересылает клики.

Вы можете создать безопасный хэш (можно использовать RNGCryptoServiceProvider)

магазин хэша, информация о пользователе (адрес электронной почты является уникальным, так что я могу хранить идентификатор пользователя ?? это правильно?) И DateTime информация (для истечения срока действия) в таблице PasswordReset

Отправьте ссылку с hash как param на указанный адрес электронной почты.

Я хотел бы выполнить это без использования вопросов безопасности.

* Мой вопрос - это процесс проверки после нажатия ссылки на пользователя. Я просто просто просматриваю хэш и адрес электронной почты в таблице PasswordReset? Что делать, если учетная запись электронной почты пользователя взломана. Затем хакер может просто нажать на ссылку и сбросить пароль на что угодно. Я пропустил, как интегрировать необходимую проверку безопасности в процессе проверки. *

Answer 1

Вы можете добавить защитный вопрос (ы) к процессу «Сброс».

Я не уверен, что общее согласие находится по ссылке ниже, но шаги там кажутся подходящими.