我设计了一个密码重置系统,用户可以在其中提供电子邮件和电话号码,并通过短信发送验证码。但是我刚注意到这个系统存在缺陷。如果有人知道我的电子邮件,他们只需输入并用手机重置即可。有没有什么方法可以安全地实施?
我没有任何代码,这更像是一个抽象的问题。
答案 0 :(得分:0)
M.Mar您可以将移动电话/电子邮件作为注册的一部分进行验证,以便将它们链接到用户帐户。一旦完成,您就知道密码重置将转到链接的验证方法。
如果我之前已经完成此操作,我还允许用户选择要使用的验证方法 - 短信/电子邮件。
答案 1 :(得分:0)
我将通过仅允许用户手机号码保存在数据库中的用户通过短信重置来解决此问题
答案 2 :(得分:0)
您可以使用电子邮件验证
1.1您可以将密码重置URL发送到您的电子邮箱 如果您是有效用户,则可以输入邮件并单击链接。 这将引导您设置新密码。 1.2你可以发送随机验证码(如outlook验证) 您必须提供一对电子邮件地址和验证码才能重置密码