Я занимаюсь реализацией функции сброса пароля для веб-сайта. Когда указан адрес электронной почты, на этот конкретный адрес электронной почты будет отправлено письмо, содержащее ссылку для восстановления пароля, которая перенаправляет на страницу восстановления пароля. Перенаправленный URL-адрес похож на этот
http://t.r.s/reset-password?recoveryToken=AyNzItMjk4MC00ZTODAxYzYyLWI4Mj
Я читаю запросы с URL-адреса, чтобы получить recoveryToken, необходимый для завершения сброса пароля
componentDidMount() {
const params = new URLSearchParams(this.props.location.search);
this.setState({
recoveryToken: params.get('recoveryToken'),
})
}
Используя этот подход, я успешно завершили функцию сброса пароля. Но моя проблема в том, что если получить recoveryToken в URL-адресе - это безопасный подход. Поскольку я чувствую, что кто-то может получить доступ к URL-адресу API, который существует для сброса пароля, а также из-за того, что маркер восстановления находится в URL-адресе, этот человек может легко сделать запрос API извне для выполнения действия по сбросу пароля.
Каков наилучший подход для обработки такого рода функций?