问在ASP.NET MVC中重置密码的最佳实践

EN

我想模仿一下www.live.com的密码重置流程。也就是说(暂时跳过电子邮件选项)：

1)屏幕询问/确认用户名

2)询问重置方式(账号验证或邮箱重置)

3)收集账号信息并验证

4)向用户提供密码重置输入。

因此，我正在寻找任何关于如何以适当的方式做到这一点的提示。我计划让每个“步骤”返回到相同的操作，并在执行过程中构建模型(根据我所在的步骤，将属性/字段放入隐藏输入或常规输入)。然后在第4步，我会重新验证帐户信息(以防有人试图黑客使用用户名和新密码直接发布到step for )。

这一切都是通过SSL完成的，我能看到的唯一缺点是，对于步骤4，我将在隐藏输入中呈现用户的“秘密问题答案”，以便在完成密码重置之前再次提交/验证它。

这是实现这个屏幕的正确方式吗?还是有一些我看不到的安全漏洞？