asp.net – 为“忘记密码”执行代码的最佳方式
网站,我想实现忘记密码.我正在使用以下步骤
>具有登录ID和电子邮件ID和CAPTCHA的输入框的表单 请帮助我,不管我做得对不对? 是否还有其他安全机制? [编辑] >当他在忘记密码页面输入loginId和电子邮件地址时,我应该向用户显示什么消息? 请帮忙? 解决方法
我明白为什么你想要一个CAPTCHA,但我会采取不同的方法.
>当请求密码重置时,检查在最后X分钟内是否尚未为该帐户请求重置.如果已经请求了密码,则忽略重置请求. 对于那些认为你应该告诉用户电子邮件去了哪里的人我非常不同意.这是“信息泄露”,即使您将其限制为域名.例如,我说我已经在JeffAtwoodEatsBabies.com上注册为blowdart.如果杰夫要求我重置密码并且您显示了注册域,那么他会看到idunno.org.这是我的个人领域,因此杰夫知道,吹风用户实际上就是我.这是一件坏事.我不应该使用hotmail或gmail或其他任何方式注册,以保护自己免受代码向所有人显示电子邮件域名. 此外,您根本不应该显示错误消息.无论发生什么情况,用户名实际上都没有注册,或者请求太多或天空已经下降,您应该告诉用户密码重置过程已经开始.通知用户帐户不存在是更多信息泄露. 您可以做的最后一件事是将CSRF令牌添加到重置请求页面,因此无法从其他网站驱动它. 跟进 所以回答你的进一步问题. >您显示的信息取决于您. “重置密码的说明已通过电子邮件发送到此帐户的注册电子邮件”是一个想法,但实际上这取决于您的受众. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – Firefox在IIS6上启用了摘要式身份验证的每个HTT
- asp.net – 从GridView中的2列动态生成超链接
- asp.net-mvc – ASP.NET MVC – Elmah不工作,返回404页面为
- asp.net-mvc – 具有相同签名的ASP.NET MVC 1.0控制器操作
- asp.net – 从内容页面设置服务器控件属性
- asp.net-mvc – 用于对Office 365 AD进行身份验证的MVC
- 使用Asp.net在jquery中更改事件
- asp.net-mvc – ASP.NET MVC从c#代码创建绝对url
- .net – 为什么使用DirectoryEntry对LDAP进行身份验证会间歇
- 使用SharpZipLib压缩打包多个内存中的文件