ユーザーがパスワードを変更したいときに、リンクではなくランダムに生成されたコードをメールで送信することに何か問題がありますか?
手順は...
- ユーザーがメールアドレスを入力してパスワードのリセットをトリガーする
- 電子メールは DB で正規のユーザーとしてチェックされます
- ランダムに生成されたコードを含む電子メールがそのユーザーに送信されます
- 同じコードが bcrypt され、データベースの専用列に挿入されます
- ユーザーは、電子メールで送信されたコードを入力します
- 保存されたベースの bcrypt パスワードに対してチェックされます
- (すべて正しければ)ユーザーは新しいパスワードを入力できます