Отправка ссылки сброса пароля пользователям

Question

Я кодирую ссылку, отправленную по электронной почте, чтобы пользователи могли сбросить свой пароль. Я хочу, чтобы эта ссылка оставляла два параметра «дата отправки» и «идентификатор пользователя». так это может выглядеть как

www.resetpassword.aspx?senddate="..."&userid="..."

Я думаю, что эти параметры должны быть зашифрованы, и меня интересует, нужно ли это шифровать с помощью какого-то сложного двустороннего алгоритма или я могу просто преобразовать строку ASCII в шестнадцатеричный код.

Стоит ли показывать пользователям дату отправки и идентификатор пользователя в ссылке? Есть ли какой-нибудь общий стандарт для этого?

Answer 1

Вам необходимо включить ключевой хеш, чтобы предотвратить замену злоумышленниками идентификаторов других пользователей.

Answer 2

Я бы не стал его шифровать. Когда пользователь инициирует сброс пароля, поместите случайный токен в его данные пользователя (если у вас есть база данных). Подтвердите против этого токена. После успешного сброса пароля удалите этот токен из базы данных.

Answer 3

Не показывать UserId в строке запроса.

Вы можете сохранить запись сброса пароля в вашей базе данных.Создайте хеш и присвойте его UserId, SendDate, ExpiryDate и всем остальным, что вам нужно.

Вместо этого отправьте хеш в строку запроса, и, когда вы получите запрос, найдите сведения, связанные с ним.