找回密码 #200

Closed
wangdx opened this Issue Mar 1, 2013 · 11 comments

Projects

None yet

5 participants

@wangdx
Member
wangdx commented Mar 1, 2013

rather than hacking GAE & MD5 32 online tools

@wangdx
Member
wangdx commented Mar 5, 2013
  • 1. 忘记密码的页面一般是给邮箱,然后系统随机一个密码到给定邮箱,用户收到邮件后就可以用这个密码登录
  • 2. 加一个次数和时间限制,比如每天只能使用该功能 3 次,每次密码保留24小时
  • 3. captcha
@wangdx wangdx was assigned Mar 6, 2013
@ArmstrongCN
Contributor
  • 取回密码建议生成随机token,发到用户邮箱,使用随机token或点击连接方可修改密码;在此之前不要改动原密码,以防恶意密码找回攻击,使密码不断失效。
@88250
Member
88250 commented Jul 3, 2013

嗯,@ArmstrongCN 说的对,我觉得需要这样来做。

@wangdx
Member
wangdx commented Jul 3, 2013

@88250 @ArmstrongCN
这样自然是极好的

@wangdx
Member
wangdx commented Aug 9, 2013

@88250 如果生成token,就需要一个额外的存储,我看GAE的datastore有个Key,不知道其他的存储是否有这一列,如果有的话,我觉得是否可以考虑借用这个Key,就不用额外的存储了,你觉得呢

@88250
Member
88250 commented Aug 12, 2013

可以把生成的 token 保存在 option 这个存储里。

@wangdx
Member
wangdx commented Aug 12, 2013

DONE

@wangdx wangdx closed this Aug 12, 2013
@ancongcong

不建议直接生成密码,可以结合一定的时间戳、用户id等算法生成一个重置密码的状态组成的一个链接,访问这个链接时校验时效、邮箱等情况

@wangdx
Member
wangdx commented Aug 15, 2013

恩,是这样的,没有直接生成密码

2013/8/15 smartan notifications@github.com

不建议直接生成密码,可以结合一定的时间戳、用户id等算法生成一个重置密码的状态组成的一个链接,访问这个链接时校验时效、邮箱等情况


Reply to this email directly or view it on GitHubhttps://github.com/b3log/b3log-solo/issues/200#issuecomment-22697709
.

echo

@lamb
lamb commented Aug 15, 2013

@wangdx 头像不错啊!

@wangdx
Member
wangdx commented Aug 16, 2013
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment