アカウントのパスワードを忘れた場合に、ユーザーがパスワードのリセット リンクを要求できるページがあります。また、ユーザーが既にアカウントにログインしている場合にパスワードを変更する方法も作成したいと考えています。これらの異なる種類のパスワード リセットごとに個別のページを作成する方がよいでしょうか、それともユーザーがログインしているかどうかに基づいてフォームを変更するだけでよいでしょうか? それは本当に問題ですか?一般的な基準はありますか?
1186 次
1 に答える
3
個別のページを作成します。リセット リンク (ユーザーがログインしていない場合) は通常、一意の GET 値を使用します。ユーザーがリンクの送信を要求すると、値がデータベースに挿入されます。ユーザーがリセット ページにアクセスすると、サーバーは URL に入力された GET 値をチェックします。GET 値がデータベース内の一意の値と一致する場合、ユーザーは新しいパスワードを入力する機会が与えられます。通常、データベース内の一意の値はすぐに期限切れになるように設定されています。これにより、ブルート フォースを使用して他人のパスワードをリセットすることを防ぎます。
上記を、ユーザーがログインしたときに開始される単純なパスワードの変更と混在させたくありません。
于 2013-10-24T02:50:48.417 に答える