如果我通过链接到密码重置页面发送电子邮件到用户的电子邮件地址,如何验证链接?我应该在数据库中存储一些随机生成的密钥,然后添加到链接字符串中? www.mydomain.com/passwordreset.html?key=abcd1234zz235
然后根据数据库中存储的密钥检查此密钥?使用PHP发送密码重置电子邮件
如果这确实是正确的方法,我应该创建一些单独的表来存储这些密钥及其相应的电子邮件吗?如果答案是肯定的,那么我应该在用户重置密码后删除这些密钥以节省数据库空间吗?
预先感谢您!
如果我通过链接到密码重置页面发送电子邮件到用户的电子邮件地址,如何验证链接?我应该在数据库中存储一些随机生成的密钥,然后添加到链接字符串中? www.mydomain.com/passwordreset.html?key=abcd1234zz235
然后根据数据库中存储的密钥检查此密钥?使用PHP发送密码重置电子邮件
如果这确实是正确的方法,我应该创建一些单独的表来存储这些密钥及其相应的电子邮件吗?如果答案是肯定的,那么我应该在用户重置密码后删除这些密钥以节省数据库空间吗?
预先感谢您!
是的,这将工作。就我个人而言,我喜欢将密钥作为基于其用户数据的编码字符串,然后我可以解码。例如,我可以采用字符串userid|password_hash|emailaddress
,对其进行编码并发送。然后,在接收它时,我可以将其解码并分解出来。用户ID用于搜索数据库,然后验证password_hash和电子邮件,如果全部检出,则可以继续。
也就是说,您的解决方案可能更好,因为这意味着您知道是否实际要求重置。最重要的是,它很难猜测。
看看this link,这可能会对你有所帮助。 基本上你必须创建一个密码重置请求表,并生成一个密钥来识别用户和重置请求本身。
我应该创建一些单独的表来存储这些密钥及其相应的电子邮件吗?
是的,我会那样做。
如果答案是肯定的,那么我应该在用户重置密码后删除这些密钥以节省数据库空间吗?
不是因为空间,而是因为交易已完成。
这里不能节省空间。因为您应该在审核日志中保留密码更改事件的日志条目。
所以我不应该删除记录?我是否应该让每个密钥 - 电子邮件对在一段时间后超时,但保留记录?换句话说,在我的激活页面中,说www.mydomain.com/resetPassword.html我得到当前时间,并且只有在密钥 - 电子邮件对的创建日期为x小时前的情况下才验证重置? – Apollo
@Derek我只是储存活动密钥,一旦使用它,将它从桌面移动到您的日志,无论您存储在哪里。 – Mahn
@Mahn好吧,这是有道理的。最后,通过电子邮件发送用户的电子邮件是安全的。所以http://domain.com/[email protected]&key=dakjf;lsdfjv111adf24'ksaf,这样我就可以引用电子邮件来存储在数据库中的信息,在reset.php – Apollo
我没有在下面的任何答案中看到的东西是,你应该**不**以数据库中的纯文本存储访问密钥。它应该与用户的实际密码具有完全相同的安全性,因为它基本上是一个密码,这意味着您需要使用安全散列函数(例如bcrypt)对其进行散列。然后,您必须将用户ID和访问密钥一起发送给用户,并将ID和散列访问密钥存储在数据库中。 – Mike