我正在构建一个涉及用户注册和登录的Web应用程序。我正在尝试实现一项功能,使用户能够在其注册的电子邮件地址中检索密码。因此,将发送一条消息以重新输入密码或仅在该电子邮件中提供密码。我正在使用spring,是否有任何教程/文章有人展示了这个实现的一个例子?所有答案将不胜感激。感谢
答案 0 :(得分:3)
基本上有两种方法。
向他们发送一个过期的链接到一个页面,让他们更改他们的密码,最好在回答几个额外的安全问题,如母亲的婚前姓名,喜欢的颜色,狗的名字,第一位老师,......他们会知道,他们在注册时已经告诉过你。您可以通过链接的到期和秘密问题的性质自行了解这是相当安全的。
发送自己的密码。这有各种各样的安全问题。首先,你不应该首先知道他们的密码:只有它的哈希值;否则,您的系统会受到称为不可否认性损失的重大法律约束,您应该在去往附近之前与您的公司律师讨论。其次,拦截电子邮件的任何人都可以将密码用于他们自己的恶意目的,这再次使您对所有交易都具有可否认性,这基本上会让您破产。
不要使用(2): - |
答案 1 :(得分:0)
由于你在问题中标记了“java”,我认为这个信息在这里很有用:我已经为这个用例实现了一个JAVA项目。它位于开源GitHub上。
对所有事情都有解释(如果缺少某些东西 - 请告诉我......)
看看:https://github.com/OhadR/Authentication-Flows
这是使用auth-flow的客户端Web应用程序,README包含所有解释。它会指导您实施:https://github.com/OhadR/oAuth2-sample/tree/master/authentication-flows