我正在使用ASP.NET MVC和ASP.NET成员资格。
关于“我忘记密码逻辑”的best practices后,我想执行以下操作:
我正在寻找有关生成此网址的最佳方式的建议,仅使其暂时有效,然后对其进行验证。我认为ASP.NET会员标准的方式是有一个'安全问题',这实际上是lousy way。
生成和验证此类链接的最佳方式是什么?我应该生成一个GUID并将其放在用户的个人资料中吗?我不认为还有其他预建的权利吗?
答案 0 :(得分:0)
您的解决方案很好......生成GUID可以进行临时密码重置。只要确保你没有生成它,直到用户要求它,然后将它添加到他们的时间戳的配置文件...并给它一个非常短的机会窗口,如一个小时。用户访问URL时重置/清除它。