流程是:
- 用户输入电子邮件地址
- 提交后,将向用户发送一封电子邮件
- 该电子邮件将包含一个链接,该链接会将用户带到重置密码页面。
现在,如何根据电子邮件地址获取用户 ID 并对其进行加密?那么链接应该是什么?就像,我想要的是获取用户 ID,然后以某种方式对其进行加密,以便链接不包含实际 ID,并且该链接会将用户带到一个页面,该页面将包含用于重置密码的文本框。我只是不知道该怎么做。
这也是安全的方式吗?要像这样重设密码?
最佳答案
我通常在数据库中创建一个新表:
具有以下字段的密码重置请求:
- Id: Guid - 密码重置请求的 ID。
- Accountid: string - 用户的用户名
- 创建时间:DataTime - 创建密码重置时间的时间戳
流程如下:
- 用户在网站上请求重设密码。
- 在 PasswordresetRequest 表中创建了一条新记录。
- 一封包含密码重置页面链接的电子邮件已发送给用户,密码请求 ID 作为请求参数。
- 用户点击电子邮件中的链接,进入密码重置页面。
- 如果通过请求参数从数据库中获取密码请求。如果可以找到请求或者请求不早于例如12 小时后,系统会向用户显示一个表单,用户可以在其中输入新密码。
这实现起来非常简单,并且对于大多数网站来说足够安全。
关于c# - 向用户发送电子邮件以重置密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3784958/