Database design 为什么重置密码URL会过期？_Database Design_Passwords_Security_Theory

Database design 为什么重置密码URL会过期？

database-design passwords security

Database design 为什么重置密码URL会过期？,database-design,passwords,security,theory,Database Design,Passwords,Security,Theory,更多的是一个理论上的问题。写一个安全的登录系统，我找不到一个原因，有一个过期的重置密码URL 他们的想法是，如果有人在你的电子邮件中，想更改你的网站密码。URL应该过期。为了避开这件事。他们可能会要求对已经泄露的电子邮件地址进行另一次密码更改我花时间让它无论如何都过期了。我认为另一个备份电子邮件地址或手机号码将是解决这一问题的唯一办法。我想我欠Kim.com的钱。没有详细说明，我看到了两种问题的情况用户依赖于本地存储电子邮件客户端（例如Outlook）。他的帐户没有受到损害，但本地存储可能

更多的是一个理论上的问题。写一个安全的登录系统，我找不到一个原因，有一个过期的重置密码URL

他们的想法是，如果有人在你的电子邮件中，想更改你的网站密码。URL应该过期。为了避开这件事。他们可能会要求对已经泄露的电子邮件地址进行另一次密码更改

我花时间让它无论如何都过期了。我认为另一个备份电子邮件地址或手机号码将是解决这一问题的唯一办法。我想我欠Kim.com的钱。

没有详细说明，我看到了两种问题的情况

用户依赖于本地存储电子邮件客户端（例如Outlook）。他的帐户没有受到损害，但本地存储可能受到损害
电子邮件帐户可能属于用户不再使用的旧服务提供商，但受损帐户上的电子邮件仍然能够生成“有效”请求

因此，在评估旧链接时，不要考虑所有可能的故障点（您将错过一两个案例），只需在重置令牌上加上一个持续时间，从而防止使用旧链接/令牌。

除非您更改了帐户上的电子邮件地址，如果您放弃该帐户，您会这样做。此外，它还减少了有人猜测重置密码令牌的可能性，尽管您的令牌应该足够长，这样做应该无关紧要。