我希望在网站上,一旦用户注册/请求恢复密码,他们所请求的帐户的电子邮件地址就会收到一封电子邮件,其中包含超时的 1 次密码设置页面。
我能想到的方法是拥有一个带有随机访问 key 和过期时间的数据库表。
- key 不正确,页面无法运行。
- 如果 key 正确但时间已过,则建议发送另一个 key 。
- 如果页面访问均正确,则从数据库表中删除 key 。
除非我使用了错误的关键词,否则我在谷歌上找不到任何相关信息。
这是一种安全的方法还是有更好的方法?
最佳答案
对我来说听起来不错。
我会做两种情况:
1) “url-key thingie”不在数据库中,或在数据库中但已过期 ---> 处理为“页面不可用或已过期,请重新检查电子邮件。”
2) 链接命中事件时间限制引用,通过 SSL 显示页面。使用 PDO。
包括验证码不是一个坏主意。谷歌验证码。
关于javascript - HTML 一次性使用页面,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30547225/