我遵循本指南,允许用户使用电子邮件重置密码。问题是,当用户多次请求"密码重置链接"时,生成的旧链接不会失效。(可以使用最新链接或旧链接重置密码)。
有什么参数可以设置为使旧链接无效吗?
有一个名为identity-mgt.properties的属性文件,您可以在/repository/conf/identity/目录中找到。在这个属性文件中,有一个名为Notification.Expire.Time的属性,您可以使用它来设置弹药中的确认码过期时间。
Notification.Expire.Time表示确认码的过期时间。即使在通知恢复场景中,也会生成一个确认代码。如果通过电子邮件进行通知,则发送给用户进行验证的链接将包括确认码。因此,一旦用户单击该链接,就会验证确认代码。因此,您可以使用此属性来验证链接。
目前,生成的确认码只有在用户成功更改密码后才会失效。所以,正如您所提到的,用户将能够使用他检索到的任何确认码来恢复他的密码。当用户成功更改密码时,在此之前生成的所有确认码都将失效。这是目前的默认行为,我们没有配置来更改它。