Php 如何传递新帐户登录信息

我有一个客户的网站不允许最终用户注册。我如何向新用户提供他们的登录/登录信息而不以明文形式发送？我不想以收场

以下是我正在处理的问题：

站点管理员必须创建帐户，而不是最终用户，因此没有“注册”页面

这些管理员不想手动给这些人打电话并告诉他们密码

这个网站不需要电话号码，所以发送短信是不可能的

关于他们新帐户的自动电子邮件无法加密

我可以很容易地编写一个一次性密码，或者发送一些长的唯一密钥作为URL的一部分，将他们带到一个屏幕上，在那里他们可以创建他们的密码，但我不知道这如何解决任何问题，因为如果有人在监视电子邮件流量，他们可以很容易地获得所有信息，就像密码在电子邮件中一样。那么这是没有办法的吗？我认为一次性密码在设定时间后过期是最好的选择。我还有别的选择吗？谢谢

更新：@Chris有了传统邮件的想法。我的网站不允许这样做，但这是一个“开箱即用”的想法，我认为值得在这里提及，以防它能帮助其他人。我发现像这样的服务很酷，它们有一个API，这样你可以让你的网站在你创建他们的帐户时自动发送一封包含他们登录信息的邮件。有点过时，但这是一种选择。

这并不容易

你可以做的是让人们从一个中心位置收集他们的密码（我不知道他们是否都在同一个位置？）。另一种选择是按传统邮件发送。或者可能存在另一个可信的第三方，用户可以在其中收集其初始密码

---

不过就我个人而言，我会使用URL和令牌来解决超时问题。你是对的，这些信息是以明文形式传输的。但是，如果攻击者使用此信息，您就知道发生了这种情况，因为合法用户无法设置其密码，从而导致呼叫服务台。如果您以纯文本形式传输密码，您就没有这个优势（至少如果您不使用一次性密码）。

one time password=OTP，URL with Token=UWT。我看不出有什么不同，我会完全一样地处理它们。UWT只是让用户不必输入某些内容。过程：发送OTP或UWT，一旦使用，我将OTP/UWL标记为已使用（时间戳），并且永远不会丢弃它。这样，当真正的所有者试图建立他们的密码时，如果它被使用，我可以显示一条消息，说“这个OTP/UWT已经被使用。如果你没有这样做，那么立即联系管理员。”如果它没有被使用，但时间已过，那么我可以显示另一条消息。我们在同一页？是的，这看起来是个好方法。我的观点是，用户必须能够知道，他的凭证被滥用了。这基本上意味着，您可以同时使用OTP或令牌。但你的方法绝对不错。