使用SMS方法恢复用户忘记密码时,遵循哪个最佳程序? 换句话说,我应该从数据库发送和检索什么?
答案 0 :(得分:2)
你不应该,因为你也不应该知道他们的密码。你应该只知道他们密码的盐渍哈希,这足以检查他们是否知道密码,但不要求你实际告诉他们。
您也不应该通过短信发送密码。它不安全,可以通过手机上的任何应用程序读取。可接受的是通过短信发送链接或确认码,允许用户将密码重置为新密码,前提是他有一些关于该帐户的其他信息(例如用户名或与之匹配的cookie)提出重置请求)。
您永远不应发送通过短信重置帐户所需的所有信息。换句话说,不要通过短信发送用户名和密码/重置代码,因为如果他的短信遭到入侵,帐户就会受到损害。