Passwords 密码重置页面是否应自动对用户进行身份验证？

许多密码丢失工作流通常会导致通过电子邮件发送给用户的临时链接访问页面。然后，此链接将他们带到一个页面，该页面要求输入新密码

在输入新密码时，是否应强制用户手动登录，或者密码重置页面是否应自动对用户进行身份验证，从而减少步骤数量，从而降低最终用户的过程复杂性

---

我经常遇到密码重置页面，这些页面让我重置密码，然后登录，这让我感觉我在无缘无故地登录两次。

我不知道强迫用户重新输入他们刚刚输入两次的密码有什么显著的好处。如果有人这样做，我很想听听。

我非常喜欢drupal的方法：用户收到一封电子邮件，其中包含一个链接，可以让他们登录一次；使用它登录后，他们有机会更改密码。

您应该让它自动登录。不明白为什么要让用户登录

---

如果是因为bot保护，那么当用户使用链接登录时，只需添加一个验证码即可。

我甚至不知道它将如何提供bot保护，因为关键是链接只提供给该电子邮件地址的收件人。这几乎是正确的方法。最好给他们一个链接，让他们设置密码，但不让他们登录。这不是一个明显的优势，但在密码重置后立即强制手动登录有助于将浏览器保存的密码更新为新密码。如果非技术用户重新设置密码，并且当他们下周返回时，保存的密码不再工作，那么他们就会感到困惑。这是一个很好的观点，也是我没有考虑过的一点。可以说，还有其他方法可以做到这一点，例如确保密码设置表单与密码输入表单足够相似，从而触发浏览器的密码保存代码。此外，它还可以让用户立即开始将登录页面的外观与新密码相关联，而不是在X时间之后，使它更容易记住。