php - 一般的“用户密码重置”算法是如何的？

问题描述

问 题

比如，当用户Email收到密码重置的链接后，单击链接可以打开重设密码的页面，该页面上一般只有两个文本框：密码框和密码确认框，这个时候用户提交的时候如何保证安全？主要是如何保证重置的确实是Email链接里指定的用户的密码（而不是别人的密码）？

补充：
重置密码表单上除了上文提到的一个密码框和一个密码确认框外，我想一般还有一个User_id之类的隐藏框吧？貌似现代浏览器可以修改隐藏框的实际值，然后提交后就变成更改其他人的密码了！

解决方案

你仔细看下那个链接，是有一个随机的token参数的，点开链接如果token不匹配提示错误页面，匹配则是修改密码页面，而且token也是跟着密码一起发给后台的，后台还是要再检验一遍的。至于token肯定是存在后台数据库中的，且越长越安全。如果简单点可以采用uuid算法作为生成token算法。

这篇关于php - 一般的“用户密码重置”算法是如何的？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！