在我们公司决定通过电子邮件,注册和忘记密码发送密码。我在问这个问题是否存在安全问题?
答案 0 :(得分:1)
在任何地方以人类可读的格式存储密码都不能被视为安全。但是大多数服务提供商通过电子邮件发送密码,因此系统管理员需要做出选择。
答案 1 :(得分:1)
简短的回答是否定的。这不安全。
此外,服务器不应该以明文形式将密码存储在数据库中,并且服务器不应该以密码可以解码/解密的方式进行编码/加密。
服务器应该以不同的方式处理"忘记密码"流。您可以阅读更多here(实现所有流程的Java项目......):
https://github.com/OhadR/oAuth2-sample/tree/master/authentication-flows#forgot-password-flow