Hybris 会话Id+；更改密码，最佳做法_Hybris_Sessionid_Change Password

Hybris 会话Id+；更改密码，最佳做法

hybris

Hybris 会话Id+；更改密码，最佳做法,hybris,sessionid,change-password,Hybris,Sessionid,Change Password,在我们的web商店（Java，Hybris）上，用户有机会更改密码。根据最佳漏洞实践，我们应该更改SessionId还是保留旧的SessionId，或者创建新的Session？最好的解决方案是什么？当用户需要重置密码时嫌疑犯账户泄露根据安全实践或系统策略强制定期更改密码我建议在密码重置时注销所有当前用户会话。此外，最好实施一种机制来确认用户的身份，如安全代码SMS/电子邮件、通过电子邮件重置密码链接等，以区分合法用户和攻击者是的，这可能不是一个好的用户体验多读一点

在我们的web商店（Java，Hybris）上，用户有机会更改密码。

根据最佳漏洞实践，我们应该更改SessionId还是保留旧的SessionId，或者创建新的Session？最好的解决方案是什么？

当用户需要重置密码时

嫌疑犯账户泄露
根据安全实践或系统策略强制定期更改密码

我建议在密码重置时注销所有当前用户会话。此外，最好实施一种机制来确认用户的身份，如安全代码SMS/电子邮件、通过电子邮件重置密码链接等，以区分合法用户和攻击者

是的，这可能不是一个好的用户体验

多读一点