每当我看到这种情况时,人们会将它与新身份2.0模板中列出的双因素身份验证混淆。但是否有一个流程可以为用户生成一个可用的(不是100个字符长)重置令牌并通过短信传递它?在我开始构建自己的方法之前,我希望至少看到一些关于如何生成更小的安全令牌的建议(可能使用我假设的PhoneNumberTokenProvider ??),并且希望不必进一步改变我的表。
这似乎是您在拥有经过验证的电话号码的用户后首先想要做的事情。
答案 0 :(得分:1)
您可以插入不同的UserTokenProvider来换出令牌以获取确认/重置密码。如果您更喜欢生成基于时间的TOTP令牌,则可以自由使用内置的PhoneNumberTokenProvider。
默认令牌很长的原因是它们是自签名令牌,其生命周期嵌入令牌中。