我们正在设置一项功能,允许用户在无法访问其帐户时重置密码。我们询问他们的电子邮件地址(他们用于登录网站),并向他们发送一封带有唯一链接的电子邮件。
问题是:
- 链接应该在第一次点击时过期还是在第一次使用时过期(即,他们成功重置了密码)
- 链接是否应具有24小时有效期(或类似的有效期)
- 用户点击该链接后是否应该登录
-
该链接应在更改密码后过期。如果您在第一次单击时链接过期,这可能会导致问题。假设我的网络连接不好,页面没有完全加载到我的浏览器中。我重新加载页面,它显示链接已过期。我不会很高兴用户看到这一点。
-
是的,您应该将链接限制在合理的时间内。24小时看起来很合理。如果你不限制链接的生存期,首先你必须永远存储生成的id,其次,你保持该链接活动的时间越长,该链接被攻击者窃取的概率就越高,这将导致窃取帐户。
-
您应该只在用户更改其密码后才允许用户进入。如果你只是让他们登录,他们可能会决定不再需要更改密码。这样,他们就可以永远登录系统,而无需更改/知道密码。
- 链接应在他们成功重置密码后过期。如果用户最终需要重新设置密码的指导,并希望稍后返回,他们应该能够
- 话虽如此,重置最终应该在48小时后到期
- 是的,他们应该在重置密码后登录,否则在你的用户在你的网站上做他们想做的事情的过程中还有另一个令人沮丧的步骤