忘记密码function弹簧(密码撤销)
我正在构建一个涉及用户注册和登录的Web应用程序。我正在尝试实现一项function,使用户能够在其注册的电子邮件地址中检索密码。 因此,将发送一条消息以重新输入密码或仅在该电子邮件中提供密码。 我正在使用spring,是否有任何教程/文章有人展示了这个实现的一个例子? 所有答案将不胜感激。 谢谢
基本上有两种方法。
-
向他们发送一个过期的链接到一个页面,让他们更改他们的密码,最好是在回答几个额外的安全问题,如母亲的婚前姓名,喜欢的颜色,狗的名字,第一位老师,…只有他们会知道,并且他们在注册时已经告诉过你了。 通过链接的到期和秘密问题的性质,您可以亲眼看到这是相当安全的。
-
发送自己的密码。 这有各种各样的安全问题。 首先,你甚至不应该首先知道他们的密码:只有它的哈希值; 否则,您的系统会受到一项重大的法律约束,称为不可否认性损失,您应该在去往附近之前与您的公司律师讨论。 其次,拦截电子邮件的任何人都可以将密码用于他们自己的恶意目的,这再次使您对所有交易都具有可否认性,这基本上会让您失败。
不要使用(2): – |
既然你在问题中标记了“java”,我认为这个信息在这里很有用:我已经为这个用例实现了一个JAVA项目。 它在GitHub上,开源。
一切都有解释(如果缺少某些东西 – 请告诉我……)
看看: https : //github.com/OhadR/Authentication-Flows
这是使用auth-flow的客户端Web应用程序,README包含所有解释。 它指导您实施: https : //github.com/OhadR/oAuth2-sample/tree/master/authentication-flows