Забыли пароль? Шаблоны или техники? ¿Названия моделей? - PullRequest
Новая
       28

Забыли пароль? Шаблоны или техники? ¿Названия моделей?

6 голосов
/ 05 сентября 2010

Мой друг только что разместил в Buzz вопрос:

Когда вы нажмете «Забыли пароль» на большинстве страниц, они отправят вам электронное письмо со ссылкой (большая частьвремя истечет через некоторое время), чтобы сбросить свой пропуск.В большинстве случаев эта ссылка включает в себя что-то вроде UUID.Есть ли название для этой техники?Создание истекающего URL / ссылки?Я сделаю это, просто сгенерировав UUID, или что-то более простое и выполнив все действия expire программно.Мне интересно, есть ли название для этого вида техники?

После прочтения его вопроса, мне теперь интересно то же самое, у этой техники уже есть имя, или лучше, она ужерассматривается как образец для мирового сообщества?

Ответы [ 3 ]

3 голосов
/ 05 сентября 2010

Вы можете вызвать это Самостоятельный сброс пароля с токеном аутентификации.

Ресурсы:

2 голосов
/ 01 февраля 2012

Я считаю, что имя шаблона пользовательского интерфейса - «Шаблон сброса пароля» или «Шаблон забытого пароля».

Одна из худших реализаций - это когда вы отвечаете на «секретный» вопрос, чтобы сбросить пароль, потому что они действительно небезопасны, поскольку ссылка, указанная Колином Хебертом , говорит .

Одной из лучших реализаций является то, что Amiando запрашивает адрес электронной почты пользователя и новый пароль, а затем отправляет подтверждение по электронной почте для подтверждения нового пароля.Более подробную информацию о этом блоге.

Очень важно, чтобы пользователь подтвердил свою личность по электронной почте или с помощью другого личного средства, такого как SMS на мобильный телефон (реже).

Другоепримеры реализации этого паттерна здесь .

0 голосов
/ 25 сентября 2012

Это базовый шаблон, с которым я работаю в своем приложении:

  1. Пользователь вводит имя пользователя или адрес электронной почты и нажимает кнопку «Сбросить пароль»
  2. Одноразовый URL-адрес токена, отправленный по электронной почтеэтот пользователь (срок действия которого истекает через несколько часов).
  3. Пользователь должен щелкнуть ссылку в электронном письме.
  4. После подтверждения пользователю по электронной почте будет сгенерирован случайный пароль при подтверждении

Затем они могут войти в систему с этим паролем или изменить его после входа в систему (необязательно)

Я думаю, что это лучше с точки зрения безопасности, а также просто в использовании для конечного пользователя.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...