重置密码功能的特点(一键,一次使用,24小时,???)

时间:2011-06-04 01:50:21

标签: passwords reset forgot-password

我们正在设置一项功能,以便用户在无法访问其帐户时重置密码。我们要求提供他们的电子邮件地址(用于登录网站),向他们发送一封包含唯一链接的电子邮件。

问题是:

  1. 首次点击链接是否过期,或者首次使用时链接是否过期(即他们是否成功重置了密码)?
  2. 链接是否有24小时有效期(或类似内容)?
  3. 用户点击该链接后是否应该登录?

2 个答案:

答案 0 :(得分:2)

  1. 密码更改后链接应该过期。如果您在第一次单击时过期链接,则可能会导致问题。假设我的互联网连接不良,页面没有完全加载到我的浏览器。我重新加载页面,它说链接已过期。我很高兴用户看到这一点。

  2. 是的,您应该将链接限制在合理的时间内。 24小时看起来足够合理。如果您不限制链接生命周期,首先您必须永久存储生成的ID,其次,保持此链接活动的时间越长,链接被攻击者窃取的可能性就越高,这将导致窃取帐户。 / p>

  3. 只有在用户更改密码后才能让用户进入。如果您只是登录,他们可能会决定他们不再需要更改密码。通过这种方式,他们可以永久登录系统,而无需更改/了解密码。

答案 1 :(得分:1)

  1. 链接应在成功重置密码后过期。如果用户以某种方式最终需要关于密码重置的指导并希望稍后返回,他们应该能够。
  2. 那说重置最终会到期,48小时?
  3. 是的,他们应该在密码重置后登录,否则您的用户在您的网站上做的事情会有另一个令人沮丧的步骤。