Забыли пароль в веб-приложении

Question

В настоящее время я работаю над страницами администрирования для моего веб-сайта, и теперь я достиг точки, когда я начинаю смотреть на то, как пользователь может получить или получить пароль, если он забудет оригинал.

Раньше мне не приходилось сталкиваться с чем-то подобным, и я не уверен, какое решение использовать, так как, кажется, существует множество способов справиться с этим. Поэтому я решил спросить у более опытных разработчиков. Каков наилучший способ справиться с «получением пароля»

Если это помогает, когда пользователь сначала регистрируется, он должен предоставить адрес электронной почты и пароль, которые затем шифруются с использованием соли.

Answer 1

Я предпочитаю, чтобы пользователь вводил свой адрес электронной почты, а затем:

а. Создайте хэш, когда пользователь отправляет запрос, и сохраните его (срок действия которого истекает через определенный промежуток времени - BloodyWorld).

б. Пользователю отправляется ссылка с этим хешем.

с. Они нажимают на ссылку, которая должна перейти на защищенную страницу вашего сайта, вы проверяете ее действительность, проверяя, что сохраненный вами хэш совпадает с хешем, указанным в ссылке, и затем просите их повторно сгенерировать пароль.

Answer 2

Хорошо, если вы хэшируете пароль, его невозможно восстановить. Вам нужно будет создать временный пароль и отправить его пользователю. Затем попросите их войти с временным паролем и создать новый.