Authentication 用户在忘记密码过程开始时登录,是否允许im进入? 我在执行“忘记密码”的过程中。我的身份验证是通过jwt访问令牌进行的。(用户登录,获取访问令牌,并将其与rest api调用一起发送)
假设当前未登录的用户,单击“忘记密码”。 我为他创建了一些散列令牌,然后给他发送了一封邮件。 如果他点击它,我会解码,向他显示更改密码,并创建一个新的访问令牌,就像这是主要的想法,一切都很好 我的问题是针对这种情况: 用户单击忘记密码,输入他的邮件,我向他发送邮件,但他没有单击url并重置,而是通过他的密码登录Authentication 用户在忘记密码过程开始时登录,是否允许im进入? 我在执行“忘记密码”的过程中。我的身份验证是通过jwt访问令牌进行的。(用户登录,获取访问令牌,并将其与rest api调用一起发送),authentication,jwt,Authentication,Jwt,假设当前未登录的用户,单击“忘记密码”。 我为他创建了一些散列令牌,然后给他发送了一封邮件。 如果他点击它,我会解码,向他显示更改密码,并创建一个新的访问令牌,就像这是主要的想法,一切都很好 我的问题是针对这种情况: 用户单击忘记密码,输入他的邮件,我向他发送邮件,但他没有单击url并重置,而是通过他的密码登录 我应该让他登录吗?创建一个访问令牌,一切正常吗?重置已发送邮件中的令牌时(或者重置密码的令牌是否仍然有效?) 显示一些错误,如转到邮件并继续忘记密码过程 我的问题来自安全方面,因为可能一
谢谢。我不是专家。这只是我的看法: “忘记密码”功能不应使旧密码无法使用,因为其他人可以调用此过程来阻止帐户所有者登录。 你可能要花相当长的时间才能意识到这封邮件,而且会引起很多头痛 当有人在短时间内要求发送多封电子邮件时,他们应该都能正常工作。邮件服务器往往会花时间,而人类的耐心并不为人所知,因此他们会点击按钮两次,但会使用收件箱中的第一个链接 这都是出于习惯 现在谈谈安全:
当有人登录时,电子邮件也应该保持活跃。正如你所提到的,恶意参与者可以登录,其他人可以阻止所有者以这种方式更改密码。我不是专家。这只是我的看法: “忘记密码”功能不应使旧密码无法使用,因为其他人可以调用此过程来阻止帐户所有者登录。 你可能要花相当长的时间才能意识到这封邮件,而且会引起很多头痛 当有人在短时间内要求发送多封电子邮件时,他们应该都能正常工作。邮件服务器往往会花时间,而人类的耐心并不为人所知,因此他们会点击按钮两次,但会使用收件箱中的第一个链接 这都是出于习惯 现在谈谈安全: 当有人登录时,电子邮件也应该保持活跃。正如您所提到的,恶意参与者可能会登录,而其他用户会阻止所有者以这种方式更改密码