我有一个页面,如果用户忘记了他们帐户的密码,用户可以请求密码重置链接。我还想为用户创建一种方法,以便在他们已经登录到他们的帐户时更改他们的密码。为每种不同类型的密码重置创建单独的页面会更好吗?或者我应该根据用户是否登录来更改表单?真的有关系吗?有一般标准吗?
答案 0 :(得分:3)
创建单独的页面。重置链接(当用户未登录时)通常使用唯一的GET值。当用户要求发送链接时,会将一个值插入数据库。当某人访问重置页面时,服务器将检查输入到URL中的GET值。如果GET值与数据库中的唯一值匹配,则该人员有机会输入新密码。数据库中的唯一值通常设置为很快到期。这可以防止人们使用强力来重置别人的密码。
您不希望将上述内容与用户登录时启动的简单密码更改混合使用。