Php 过期重置密码电子邮件密钥

电子邮件重置密码密钥过期的标准是什么

我的应用程序生成一个30个字符的字母数字键，该键附加到URL：

一旦用户重置了密码，密钥就会从其帐户中删除

这涉及到过期密钥，但另一个用户提到，如果电子邮件帐户被泄露，那么他们显然可以轻松地请求新的重置密钥

我猜这种方法的主要潜在漏洞是有人可能会尝试强制执行重置密钥，虽然他不知道该密钥属于哪个帐户，但他仍然可以更改某人的密码

例如，我刚刚点击了3天前从facebook发送的一个重置链接，它仍然有效

---

根据标准惯例，密码重置密钥是否有必要过期？如果是这样的话，我们应该让钥匙保持新鲜多久？据我所知，两者都是必要的，否则会造成许多严重的安全问题。通常对我来说，我只保留4个小时。

据我所知，两者都是必要的，否则将导致许多严重的安全问题。通常对我来说，我只保留4个小时。

不能指望你处理用户电子邮件帐户被泄露的问题。然而，为了防止暴力，短的失效时间，如15分钟，是可取的。如果用户请求密码重置，他们通常希望现在就可以访问，如果出于某种原因，他们请求一个密码重置链接以供以后使用，那么，去他们的，他们必须请求另一个。你链接的Q上的第一条评论几乎概括了这一点，如果用户不喜欢你保护他们的安全，那就是他们的问题

---

此外，您还可以通过提出质询问题来提高重置的安全性。比如你的第一辆车是什么。这些类型的措施都是标准的，虽然通常不难找到用户的信息，但随机暴力者可能不会麻烦，特别是如果他只有15分钟的时间来尝试和暴力处理特定的重置链接。

你不能期望处理用户的电子邮件帐户被破坏。然而，为了防止暴力，短的失效时间，如15分钟，是可取的。如果用户请求密码重置，他们通常希望现在就可以访问，如果出于某种原因，他们请求一个密码重置链接以供以后使用，那么，去他们的，他们必须请求另一个。你链接的Q上的第一条评论几乎概括了这一点，如果用户不喜欢你保护他们的安全，那就是他们的问题

此外，您还可以通过提出质询问题来提高重置的安全性。比如你的第一辆车是什么。这些类型的措施是标准的，虽然通常不难找到用户的信息，但随机暴力者可能不会打扰，特别是如果他只有15分钟的时间来尝试和暴力执行特定的重置链接。

注意：

当到达重置URL时，将密钥存储在cookie中，并立即重定向，使其不在引用中的任何位置。cookie应在浏览器关闭时过期，并应在重置密码后显式删除。 我为我的服务做了3个小时的重置，我认为即使这样也太长了。30分钟就可以了。 重置密码链接并非完全不安全。如果你的服务是持有任何类型的信用卡数据、货币兑换或个人信息，你也应该考虑一些挑战性的问题。 请注意：

当到达重置URL时，将密钥存储在cookie中，并立即重定向，使其不在引用中的任何位置。cookie应在浏览器关闭时过期，并应在重置密码后显式删除。 我为我的服务做了3个小时的重置，我认为即使这样也太长了。30分钟就可以了。 重置密码链接并非完全不安全。如果你的服务是持有任何类型的信用卡数据、货币兑换或个人信息，你也应该考虑一些挑战性的问题。