Web アプリケーションの忘れたパスワードを実装しています。ユーザーには、新しいパスワードを入力するための Web ページへのリンクが記載されたメールが送信されます。リンクが作成されてから最大 24 時間にリンクの有効性を制限したいと思います。これをどのように実装すればよいですか?同じリンクが再利用されないように、またはリンクを変更して再利用できないようにするには、このパラメーターをどのように生成すればよいですか?
これが役立つかどうかはわかりませんが、Spring 3.1 フレームワークを使用しています。
このようなタイプの機能については、タイム スタンプ ベースのランダム トークンを作成し、それをパスワードを忘れた場合のリンクと共に送信する必要があります。以下の手順に従う必要があります。
より安全にするために、リンクが有効なユーザーからのものであり、ハッキングされていないことを確認するための手順をさらに作成できます。
一般的なアプローチは、生成された ID を URL に含めることです。その ID は、作成日または有効期限のいずれかの日付とともにデータベースに保持されます。このようにして、期限切れの ID をクリアするバックグラウンド タスクを作成できます。
私がすることは次のとおりです。
利点:
ユーザーが新しいパスワードを要求したら、たとえば を使用して、ランダムなトークンを生成しますRandomStringUtils.randomAlphanumeric(int)。このトークンを、パスワードのリセットを要求したユーザー ID に関連付けられたデータベースに保管します。作成時のタイムスタンプも保存します。
リンクを電子メールでユーザーに送信します。このリンクには、作成したばかりのトークンが URL の一部として含まれている必要があります。
ユーザーがこのリンクを入力すると、新しいパスワードの入力を求められます。リンクが漏れているのではないかと心配な場合は、個人情報 (メールアドレス、名など) についても尋ねてください。
サーバー側では、次のことを行います。
トークンと、そのトークンに関連付けられているユーザー ID を見つけます
現在の日付を比較して、トークンがまだ有効であることを確認します
新しいパスワードをハッシュして保存