我想知道当用户请求为不存在的电子邮件重置密码时最佳行为是什么。
上下文:用户未登录。他们只需输入电子邮件并点击重置按钮。
更新:在进一步考虑之后,我并不是真的如此 1 是一个大问题,因为他们只需尝试注册/使用即可获得相同的信息同样的电子邮件......除非我遗漏了一些东西......
答案 0 :(得分:2)
我个人会这样:
这就是为什么我不会告诉任何人帐户是否与此电子邮件地址相关联:隐私。如果你告诉所有人,每个人都可以检查$ person是否正在使用$ service。
如果没有这样的用户,我会包括为什么我不发送邮件:我为什么要这样做?用户可能要么知道他使用了哪个电子邮件地址,要么一次尝试几个(或者只是等待很短的时间跨度)。当然,如果有人发送这些邮件,有些情况会对用户更友好,但它们并不足以抵消滥用的可能性。 如果只有一个网站做这些东西(只要他们不会在短时间内发送多封邮件),就没有太大的滥用可能性,但想象一下每个网络服务都是这样的。你只需要收集一些这些服务,然后通过电子邮件轰炸某个“你不喜欢”的人,而不会点击任何垃圾邮件过滤器!
答案 1 :(得分:0)
就个人而言,我是粉丝:
此外,
答案 2 :(得分:0)
在我看来,第三种选择是用户友好性和安全性之间的最佳折衷。选项1似乎是一个隐私问题。使用选项2,用户无法知道他是否拥有帐户,但是使用其他电子邮件地址注册,或者重置系统无效。
答案 3 :(得分:0)
我会做这样的事情
完成:)