我们正在设置一项功能,以便用户在无法访问其帐户时重置密码。我们要求提供他们的电子邮件地址(用于登录网站),向他们发送一封包含唯一链接的电子邮件。
问题是:
答案 0 :(得分:2)
密码更改后链接应该过期。如果您在第一次单击时过期链接,则可能会导致问题。假设我的互联网连接不良,页面没有完全加载到我的浏览器。我重新加载页面,它说链接已过期。我很高兴用户看到这一点。
是的,您应该将链接限制在合理的时间内。 24小时看起来足够合理。如果您不限制链接生命周期,首先您必须永久存储生成的ID,其次,保持此链接活动的时间越长,链接被攻击者窃取的可能性就越高,这将导致窃取帐户。 / p>
只有在用户更改密码后才能让用户进入。如果您只是登录,他们可能会决定他们不再需要更改密码。通过这种方式,他们可以永久登录系统,而无需更改/了解密码。
答案 1 :(得分:1)