如果它们永不过期会有什么大问题吗?
有人忘记了密码并要求重置密码,系统会向他发送一封带有密码重置链接的电子邮件。
然后他突然想起了他的密码,所以他只是忽略了密码重置电子邮件。但过了几天,他又忘了。由于他的邮箱中已经有密码重置电子邮件,他只需点击该链接即可返回网站重置密码。这似乎没问题,为什么我们应该让帐户激活/密码重置链接在一段时间后过期?
答案 0 :(得分:7)
如果他们的电子邮件帐户遭到入侵,该怎么办?然后,攻击者会看到所有这些“密码重置”链接,并通过它们进行点击,从而进一步损害更多帐户。其中您的服务可能使用真钱或信用卡信息。