我正在寻找为我的网站添加密码重置功能,并且已经在SO上浏览了讨论该问题的各个方面的众多线程。我还没有真正看到澄清的一件事是,在发送重置电子邮件之前需要用户提供多少信息进行确认。
我不希望我的网站看起来像一个带有标尺的旧皱纹修女,但我不希望人们能够毫不犹豫地滥用密码重置系统。
建议?
答案 0 :(得分:3)
我只使用一封电子邮件,并通过链接中的激活码向该人发送电子邮件。该激活码在2天内到期,一旦使用它也会失效。
这意味着此人必须能够访问该电子邮件帐户才能使用该帐户,并且只能使用一次。
使用电子邮件+帐户用户名并不常见,但我的电子邮件是您登录的内容,没有用户名。决定取决于你。
我认为电子邮件就足够了而不会成为麻烦。
答案 1 :(得分:1)
首先应该关注安全问题。如果另一个人持有用户密码会有多糟糕?如果这是不可接受的,我会说Babiker所说的 - 电子邮件和某种安全问题,最好是网站和用户之间从未传达的内容,但注册过程或用户编辑的安全设置除外。这里假设用户的电子邮件帐户已被盗用。
如果安全性不是很大,即没有涉及真正的隐私/财务/等风险,我认为电子邮件就足够了。为了最大限度地减少滋扰风险,您可以按照Kerry的建议 - 即不自动重置密码,但提供验证链接。此外,您可能希望对给定用户使用该功能的频率施加一些限制,以防止有人通过重复输入您的电子邮件来填充您的收件箱。
答案 2 :(得分:0)