我正在设计一个使用双因素认证的系统。其中,只有当两个身份验证因素通过验证时,用户才能授予访问权限。
让我们假设第一个因素只是基于密码的认证,第二个因素是指纹生物识别。现在,如果用户想要重置密码,就没有什么大问题了。用户点击密码重置按钮,系统电子邮件给用户一个重置密码链接,或者系统可以更积极地要求用户使用指纹验证他的身份,然后再将重置密码链接发电子邮件</e
浏览 0提问于2015-04-02得票数 2
回答已采纳
我有反应应用程序和使用防火墙身份验证。所以我已经发送了电子邮件地址验证和密码重置电子邮件。所以用户收到了这两封邮件。对于电子邮件地址验证,当他们单击操作链接时,他们会看到“您的电子邮件已被验证”的默认页面。
对于密码重置电子邮件,当他们点击动作链接,他们会看到“新密码”默认页面和重置。因此,我
浏览 4提问于2022-05-03得票数 0
回答已采纳
我试图找出使用密码重置令牌的最佳实践。1)用户认为他没有收到电子邮件,试图重新设置。我们应该让他产生另一个标记吗?如果这样做,我们是否应该立即删除旧的令牌?(无论如何,从发布datetime后24小时起,它们都将无效
浏览 0提问于2013-02-25得票数 13
回答已采纳
我遇到过这样的情况:电子邮件客户端检查电子邮件中的所有链接,因此当我发送带有重置密码链接的电子邮件时,用户将立即在下一封电子邮件中获得新的临时密码。但是,只有当用户单击链接时,才应该发送该链接。重置方案:用户将收到带有重置链接的电子邮件。
用户单
浏览 0提问于2016-10-25得票数 1
回答已采纳
1回答
我正在实现一个密码重置功能。只有管理员才能在不知道某人的当前密码(或新用户)的情况下重置其密码。一旦用户单击该链接,就必须验证令牌。我想知道你是如何从链接中验证令牌的。我知道如何检查它是否已被使用
浏览 14提问于2017-02-24得票数 0
设想情况:
爱丽丝试图注册,发现她的电子邮件alice@example.com已经被拿走了。我们如何为Alice提供一个与她的电子邮件地址链接的用户帐户,而不让她访问Bob的Fi还原记录,
浏览 1提问于2018-07-10得票数 0
回答已采纳
我已经阅读了很多关于使用令牌重置密码的页面。但是在那之后我就不明白了,我该怎么处理这个令牌呢?我是否只需要检查数据库中是否存在该数据库?因为我在这个链接上读到了reset_password表中的交叉引用,但我不明白这是什么意思。
我是否只需要检查令牌是否存在并选择同一行上的电子邮件?然后我允许用户使用该电子邮件重置密码?
浏览 1提问于2014-06-24得票数 0
我们目前有一个我认为是相当标准的方案来处理密码重置。我们的重置链接是单用链接:它们在被访问后立即过期,即使用户没有真正重置他们的密码。
然而,我们的客户主要是(99%)业务,具有积极的垃圾邮件过滤。特别是,我们的一些最大的客户(学区)有一个垃圾邮件过滤器到位,以执行链接扫描。他们通过电子邮件访问不超过N链接,作为算法的一部分。我们的客户一般都是尽可能多的非技术人员
浏览 0提问于2014-08-25得票数 29
回答已采纳
1回答
我正在开发一个强大的算法来安全地重置密码,并寻求用户社区的反馈。下面是我到目前为止想出的(在的帮助下)
发送电子邮件给用户一个链接以重置他们的密码@ URL=...
浏览 2提问于2012-02-08得票数 4
我参与了一个使用Laravel 5.4和内置身份验证的网站。我添加了一个“忘记密码”链接,其中显示了ResetPasswordController@showLinkRequestForm,该链接在提交时通过电子邮件发送密码重置链接,然后ResetPasswordController我的问题是我们有两个不同的用户-客户端和管理员。我有能力确定哪一个是通过注册的电子邮件地址,但我希望重置密码后的重定向是
浏览 9提问于2019-03-21得票数 0
回答已采纳
2回答
我一直在网上搜索如何在安全密码重置系统(带有重置url的电子邮件)上搜索最佳实践,在数据库中散列令牌的想法(我一开始没有实现)似乎是存储令牌的最安全的方法。然而,用于验证的同步是这样的:Bcrypt.verify(非散列,散列);
所以我的问题是:如果reset-链接只包含令牌(它不在db中,哈希是)--我如何在db中找到用户?在重置链接中添加电子邮件/用户it安全吗?我看到的其他服务都没有这样做(afai
浏览 0提问于2015-05-16得票数 2
所以我想我遇到了一个安全问题,我不确定该如何处理它。
我使我的用户能够更改他们在我的网站上注册的电子邮件和密码。对于这两个操作,他们应该输入他们的当前密码(并使用令牌确认电子邮件)。
浏览 0提问于2015-08-30得票数 1
2回答
我正在尝试在iOS中为一个拥有电子邮件身份验证以及Facebook和Twitter身份验证的用户重置Firebase的密码。密码成功重置,用户ID相同,但用户的Facebook和Twitter身份验证被删除(见下文)。如何在不删除社交媒体身份验证的情况下在Firebase中重置密码?在密码重置之前使用社交媒体链接进行用户身份验证
密码重
浏览 4提问于2017-06-22得票数 18
我想设置会话,这样他们就可以在等待电子邮件验证到达他们之前开始设置应用程序。我是不是漏掉了什么安全问题?
浏览 0提问于2011-10-19得票数 0
我们已经创建了我们网站的电子邮件验证部分。我们使用CakePHP BTW建造了这个网站。附加
浏览 2提问于2010-01-20得票数 0
我对如何实现密码重置功能感到困惑。我正在测试一个具有两个角色的Web应用程序--管理员和普通用户。只有管理员才能使用密码重置功能(没有MFLAC)。该链接加载一个包含两个字段的页面,“新密码”和“验证新密码”。在这里,我成功地更改了密码并完成了这个过程。如果攻击者更改“电子邮件”字段中的值并输入"attacker@mail.com“,则应用程序将向攻击者发送链接,从而允许攻击者更改密码。值得一提的是,这个函
浏览 0提问于2018-01-09得票数 2
1回答
引用引用标题:隐私和安全问题我想问,在这种情况下,安全问题是什么?如果我点击上述的社交媒体链接,该社交媒体网站将只收到(?)密码重置链接的链接,但不应该有任何敏感的信息,如用户名或密码,因为我没有提供它们的形式,或上述情况解决的情况下,我已经通
浏览 0提问于2019-12-15得票数 2
我发现自己今天告诉一位同事“电子邮件是不安全的,这就是为什么我们开发了我们的安全报告应用程序。”
但我突然想到,为什么电子邮件被认为是不安全的?如果它是如此不安全,我们为什么要信任它的密码重置?
浏览 0提问于2013-01-22得票数 39
回答已采纳
2回答
我正在设计一个应用程序,该应用程序使用通常的方式执行密码重置:
用户输入用户名并请求“重置密码”电子邮件用户接收带有密码重置链接的电子邮件,该链接包括可验证的令牌用户单击该链接,以及(在验证令牌后)在更新的密码中的类型Ajax调用REST服务来完成诸如验证令牌、发送电子邮件等事情?即使这些REST服务在SSL & Basic后面受到保护,调用服务所需的信息
浏览 3提问于2011-09-01得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
