忘记密码功能流程讨论 @@?
本来不想做的想说有问题,让学生自己打给管理员帮他改成回预设密码 (帐号与密码相同)
后来想想算了做这个也不会多难,由于自己平常都没忘记密码
凭印象中,目前大多忘记密码流程。
↓
输入Email → 寄发乱数密码 → 寄给User → 将乱数密码加密后存回DB
刚刚做玩想到一个问题,以前忘记密码只记得这样做,完全没想到这个
没想到在自己开发这个功能时,想到这个问题
问题就是这样不就会被洗密码 ?
知道你Email的人一直故意去,用你的Email去重设密码,虽然他进不去你信箱,但是可以搞你的密码...
这有什么防疫方式吗 ?
还是各位有什么好建议呢 ?
我看微软的Skype忘记密码流程看起来也是这样,只要你输入一个信箱而已@@