学习
实践
活动
专区
工具
TVP
写文章

SpringBoot实现通过邮箱找回密码功能

1.前言 之前在大学里面做项目的时候碰到修改密码那一块的,自己当时都是做的很简单的逻辑,也想过怎么通过邮箱或者手机号这种进一步验证身份来修改密码,但是自己当时太菜了,也没怎么好好钻研,所以就一直没尝试过那样的功能 QQ邮箱,还是网易邮箱区分 #smtp.163.com为网易邮箱,smtp.qq.com为QQ邮箱 host: smtp.qq.com username: 2293557957@ required: true default-encoding: UTF-8 配置完发送邮件的参数之后,我们就能来编写逻辑了. 2.4 编写逻辑的步骤 在编写逻辑之前我们先来梳理一下我们通过邮箱找回密码的整体流程 /发送邮件的类 @Autowired private JavaMailSender mailSender; //这里使用的是我们已经在配置问价中固定了的变量值,也就是通过这个邮箱向目标邮箱发送重置密码的邮件 这样通过邮件找回密码的功能就已经实现了

77310

C#通过邮箱验证来找回密码

这是双系统里面的Ubuntu,不是虚拟机里的Ubuntu,有图有真相.....忘记密码的后果是很严重的。 ? ? 正是因为有极少部分像我一样的、会忘记密码的沙雕存在,所以找回密码功能是非常重要的。 找回密码功能简单来说就是俩个步骤:①输入账号并通过验证,证明这个号是你的;②输入新密码,MD5加密保存到数据库的用户表中。 个人不是很喜欢密保问题验证找回密码,于是我在数据库大作业中选择的找回密码方式是邮箱认证。好了 原谅我是个话痨,终于说到这篇博文的正题啦——C#如何通过邮箱认证来找回密码。(QQ邮箱的小弹窗真好! 在找回密码时,只需要连接到sql server通过SELECT语句进行查询即可,只有当输入的账号和邮箱是绑定好的才能发送邮件验证码进行邮箱验证。 这部分很简单实现的,在上面的那个代码块里已经写啦,看下效果图吧(原谅我的找回密码界面很丑?)。 ? ?

76241
  • 广告
    关闭

    热门业务场景教学

    个人网站、项目部署、开发环境、游戏服务器、图床、渲染训练等免费搭建教程,多款云服务器20元起。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    验证邮箱或者找回密码的时候收不到邮件是怎么回事?

    不知道从什么时候开始,有网友反馈本站系统发送出去的验证邮件收取不到,无法完成邮箱的验证和密码找回功能,其实,真的挺奇葩,之前@可风跟我说过一次,他网站的发出去的邮箱都在垃圾箱里,当时并没有重视,现在看来我也被移入到垃圾箱了么 不知道是什么原因,怎么就跑到垃圾箱去了呢,当然也不是所有为都会出现在垃圾箱,我刚刚测试了一个新号,正常提示收到邮件,看来腾讯的邮件系统有误判的可能性,但是我也不能让他们给我排查不是,所以教大家怎么设置邮箱白名单 QQ邮箱设置教程: 登录QQ邮箱,点击顶部设置,点击反垃圾,找到白名单,点击设置域名白名单,如图: ? 然后在域名白名单设置“talklee.com”域名,然后点击添加到域名白名单即可。 ? 网易邮箱设置: 找到顶部设置,点击常规设置,找到右侧反垃圾/黑白名单,如图: ? 教程基本结束,至于我为什么会进到垃圾箱,我一直百思不得其解,,,难道是因为目前使用的是腾讯域名邮箱导致的吗?不管了,以后有时间重新再弄个企业邮箱,那时应该就正常啦!

    1.2K30

    服务器忘记密码怎么办?怎么找回忘记的密码

    但很多粗心的用户由于长时间没有登录,再次登录时会发现密码始终输入错误,那么服务器忘记密码怎么办?怎么找回忘记的服务器密码呢? 怎么找回忘记的登录密码 服务器在登录时需要输入密码,但偶尔也会出现忘记登录密码的情况,那么服务器忘记密码怎么办呢? 其实找回密码的方法还是很多的,首先用户可以登录到注册服务器时的管理网页,通过输入初始信息的方法来找回密码。 此外用户还可以寻求客服的帮助,只需要提供服务器的购买凭证,一般客服也会为客户找回丢失的密码服务器忘记密码怎么办? 其实服务器的密码丢失并不用过于着急,找回密码的方法还是很多的,不过为了避免麻烦建议用户还是要牢记自己的服务器登录密码

    2.4K50

    好消息 | Github代码私仓免费了

    其实我一直有两个github账号,第一个账号叫 gloomyfish, 就是下面这个地址 https://github.com/gloomyfish 但是很不幸的是,大概在2017年的时候,我重装机器把密码跟账号搞丢 ,有人问你不是可以给邮箱发邮件吗,找回密码吗? 很不幸的时候邮箱密码我也忘记了,所以后来我就用不了,愤怒之下,又注册了一个账号叫 gloomyfish1998, 下面就是现在用的地址 https://github.com/gloomyfish1998 我最早2015年得时候跟别人做项目搞得第一个私有仓库就是在github上,当时是收美元得,那个哥们叫罗伟富(他写过一本设计模式的书),用C++,我当时当时用Java 实现了HOG+KNN 裸写了一个检测红白细胞得算法 再后来我发现码也可以代码私仓,但是我又把账号跟密码忘记,所以也不用了,唯一经常登陆的就是github! 没办法有github比别人落后一个月,没有github比别人落后一年!

    26130

    业务逻辑漏洞总结

    二、基于找回密码的 一般情况下当我们点击找回密码的时候都是通过验证手机号或者验证邮箱,这就又变成了验 证码的问题; \1.验证码发送后前端返回 \2. 未限制验证码次数导致验证码爆破 \3. 拦截数据包,发送验证码时可以向多个手机号发送验证码,这个时候就可以添加个短信,直接接受验证码完成修改等等 密码找回漏洞 密码找回是出现逻辑漏洞问题最多的一个功能,因为它的交互流程最多,目前找回密码的方式比较常见的有邮箱验证码 、手机验证码以及密保问题, 1.输入用户名/邮箱/收机阶段 交互过程:即输入要重置的账号信息,点击确定时,大部分应用会直接从数据库中读取用户邮箱和手机信息,并且发送验证码,还有部分程序在输入用户名后,会提示使用手机还是邮箱找回密码 3.发送新密码阶段 凭证未绑定用户:我们在找回密码的时候,发送到邮箱的链接通常是如下这个样子:http://www.xxx.com/user.php? 6.输入用户邮箱或ID、手机号取验证凭证的地方需要设置验证码防止短信炸弹和批量找回等。 7.验证凭证跟用户名、用户ID、用户邮箱绑定,找回密码时验证当前凭证是否是当前用户的。

    30410

    腾讯账号相关

    腾讯账号注册会有注册方式,同时腾讯也支持绑定多个登录方式(一般一个账号会出现多个用户要登录的情况,微信二维码扫码不太方便),举个例子:老板微信注册的账号,需要给到 A 哥管理账号,那么 A 哥不希望每次都找老板扫码 ,所以老板可以给账号绑定一个邮箱/密码的登录方式,之后 A 哥使用邮箱/密码登录账号管理账号。 账号是以实名认证归属的,一旦卖家反悔;作为购买者的我们得不偿失) 如果账号丢失了,可以先找回账号的UIN信息:https://cloud.tencent.com/account/recover (企业账号可以直接通过此流程找回账号 );找回 UIN信息后,再自助申诉找回账号:https://cloud.tencent.com/account/apply-login image.png

    1.2K10

    WordPress最新版本网站安全漏洞详情与修复

    ,可以先人一步对其找回密码进行设置。 WordPress 漏洞详情 在该系统代码里我们发现wp_mail这个函数具体的作用是用来发送邮件,用户找回密码首先会发送邮件过去,确认账号的所有者,然后再进行重新设置密码,但是在这个找回密码发送邮件的过程中 ,我们来进行重新找回密码,设置用户的新的密码。 我们首先利用阿里的服务器,ECS购买一个按量付费的国内服务器,linux centos系统,然后安装nginx+PHP+mysql数据库的这么一个网站环境,再下载WordPress官方的一个版本,安装到服务器中 ,我们来现场实战一下:如下图: 我们创建一个我们自己的邮箱,在服务器里搭建好邮箱的环境,开启stmp25端口,然后抓包WordPress找回这里,远程代码执行我们的操作,如下图: 这里我们提交到我们的网站里去

    43810

    任意用户密码重置(一):重置凭证泄漏

    在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。 先用攻击者账号走一次密码找回流程,测试账号 yangyangwithgnu@yeah.net 选用邮箱找回密码: ? 点击获取校验码后抓取如下应答: ? 其中,VFCode 从字面理解很可能是校验码。 登录邮箱查看网站发过来的密码找回邮件: ? 发现两者一致,那么,几乎可以确认服务端将密码找回的校验码泄漏至客户端,可导致任意账号密码重置问题。 尝试找回普通账号的密码密码找回首页输入邮箱后,系统将立即校验该邮箱是否注册: ? 将 UName 参数定义为枚举变量,以常见 qq 邮箱作为字典,可枚举出多个有效邮箱: ? 防御措施上,密码找回的凭证切勿下发客户端,另外,校验邮箱是否有效应添加图片验证码,以防止关键参数被枚举。

    73060

    常见逻辑漏洞

    密码找回逻辑漏洞 密码找回逻辑测试一般流程 首先尝试正常密码找回流程,选择不同找回方式,记录所有的数据包 分析数据包,找到敏感部分 分析后台找回机制采用的验证手段 修改数据包验证推测 常见思路及案列 用户凭证 转md5后即可任意修改密码 用户名、服务器时间 找回密码的token是根据时间生成的 凭证未和用户id绑定 填写完自己的手机号和验证码,抓包将username值改为其他id 邮箱token未绑定 找回密码链接发送到邮箱内 ,查看连接,直接填写上用户ID和邮箱地址即可更改密码 自己邮箱绑定其他用户id 服务器验证返回账户名 找回密码处填写正确邮箱得到用户名 上一步已经得到正确的用户名了,这一步填写自己的邮箱,并且写入正确的邮箱验证码 ,修改为200即可绕过验证 session覆盖 输入自己的账号,一步步的正常操作,直到修改密码的链接发送到自己的邮箱,发到邮箱后修改密码的链接不要打开 在同浏览器内打开网站还是忘记密码输入要修改的账号输入完要修改的账号后 ,一步步正确操作,然后发送修改密码的链接到邮箱邮箱肯定不是咱的) 这个时候在同一浏览器中打开发到我们邮箱的链接 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/136486

    11220

    逻辑漏洞之密码找回漏洞(semcms)

    什么是密码找回漏洞 利用漏洞修改他人帐号密码,甚至修改管理员的密码。 2.返回凭证 2.1 url返回验证码及token(找回密码凭证发到邮箱中,url中包含用户信息以及凭证,但是这个凭证可以重置任何用户) 2.2 密码找回凭证在页面中(通过密保问题找回密码找回密码的答案在网页的源代码中 ,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了) 9.2 发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制 10.注入 10.1 A账号) 13.session覆盖 参考资料来源 https://bbs.ichunqiu.com/thread-18920-1-1.html 演示 暴破验证码找回密码 首先,要知道管理员的邮箱,还有后台路径 初始密码是1,登录成功,说明网站配置没问题 现在开始爆破之路。 退出登录,进入后台,选择找回密码 ? ? 确认找回 这里没有配置邮箱服务,所以报错,实际网站管理员是会开启邮箱服务的 ?

    2K33

    密码找回插件LoveKKForget

    插件简介 作为一个博客程序,Typecho竟然没有密码找回功能,可以说很是意外!也有很多网友对这个功能进行过增加,但大多需要对内核代码进行修改,这样对以后的升级很不友好。 参考了部分ShingChi曾经编写的找回密码插件:Passport,写出了LoveKKForget。 插件功能很简单,就是一个密码找回的功能,同时考虑到smtp发信的丢信率等因素,将邮件发送改为了使用SendCloud进行发送。 功能说明 自动在login.php页面增加找回密码链接 后台可对SendCloud发信信息进行配置 可设置重置密码链接过期时间 使用说明 上传插件 激活插件 申请SendCloud账号并创建域名、修改NS 将API_USER、API_KEY、调用名称依次填入插件配置中,发件人邮件地址则填写一个邮件地址,建议与发信邮箱一致,如:admin@mail.usebsd.com 下载地址:蓝奏

    11520

    【说站】WordPress自媒体资讯博客主题子比主题zibll V6.1开心版

    更新日志: 新增用户登录/注册/找回密码页面及多项对应设置(自动生成无需设置) 新增默认登录为弹框或页面的选项 新增登录框左侧图像显示功能(支持多图随机显示) 新增登录框显示 LOGO 的开关选项 新增短信验证码登录 、注册、绑定、找回密码功能 新增阿里短信、腾讯、短信宝、风吹雨短信接口 新增免密登录功能(验证码登录) 新增显示用户协议和显示隐私协议功能 新增用户中心绑定手机号功能 新增强制绑定邮箱/手机的功能 新增提醒用户绑定邮箱/手机的功能 后台用户管理新增按注册时间、最后登录、昵称、手机号排序功能 新增网站全局关闭用户登录/注册功能(适合无交互网站) 删除老版找回密码页面,由新版代替(无需任何设置) 删除后台选择投稿页面

    8610

    干货 | 渗透测试全流程归纳总结

    ,或者由 md5 加密后显示,解密即可(同理,有的时候输入用户名,抓包可以看到返回的手机号等其他信息) 根据邮箱找回密码,抓包直接返回,密码找回凭证可能在页面中 例如:利用两个帐号同时点击找回密码,去邮箱查看找回密码的链接 ,获取验证码,提交后修改密码通过自己手机号找回密码,获取验证码后抓包,将数据包中的 username 改为他人用户名,提交后成功修改他人密码 短信验证码、邮箱 token、重置密码 token 例如:通过邮箱找回密码 ,即可修改其他用户密码 服务器验证的验证逻辑为空(绕过认证) 例如:通过邮箱找回密码,点击请重新发送邮件处抓包,将邮箱改为自己的邮箱,通过链接成功修改密码例如:通过手机找回密码,输入验证码和新的密码,F12 ,相当于修改了密码 同一浏览器,首先输入自己的账户进行邮箱密码找回,进入邮箱查看链接,接着输入他人账户,进行密码找回,返回刚刚自己的邮箱点击链接,由于 session 覆盖导致了,这个链接成为了修改他人密码的链接 ,成功修改他人密码 尝试正常密码找回流程 选择不同的找回方式,记录所有数据包 邮箱找回密码 根据密码保护问题找回密码 根据手机号找回密码 分析数据包,找出敏感部分 分析后台找回机制所采用的验证手段 修改数据包进行验证是否存在密码找回漏洞

    1.2K34

    小伙伴问我:如何搭建Maven私服?我连夜肝了这篇实战文章!!

    登录nexus 默认用户名admin,默认密码admin123。 ? ? ? 到此, Nexus 已安装完成, 接下来是 Nexus 的配置 Nexus 配置(登录后) 设置管理员邮箱 菜单 Administration/Server 配置邮箱服务地址(如果忘记密码,可以通过该邮箱找回密码 设置用户邮箱 给用户配置邮箱地址,方便忘记密码找回: ? 用户修改密码 ? ? ? 仓库类型 ? 说明已经将项目构建并发布到了我们的Maven私有仓库。 最后,我们添加第三方的Jar依赖到我们的Maven私有仓库,具体操作如下: ? 如上图,第三方依赖私有仓库为空,我们按照以下步骤上传第三方依赖到我们的Maven私有仓库。 ? ? ? ? 如上图,第三方依赖已经上传到我们的Maven私有仓库。

    54930

    逻辑漏洞之密码重置

    密码找回验证条件可社工 1 只验证帐号是否存在即可修改密码 2 只验证帐号与邮箱地址是否匹配即可修改密码 3 只验证帐号与手机号是否匹配即可修改密码 密码修改页面可预测 案例介绍: 问题出现在忘记密码处 ,可以通过手机找回邮箱找回密码两种方式获得指定帐户的新密码设置权限 进入忘记密码,填写想要获取权限帐号的ID 获得url ? 选择邮箱找回 ? 获得url: ? 系统已将新密码设置url发送给邮箱 此时只需要将前面获取的url修改一下 ? 即可获得设置该用户新密码的权限 ? 验证码可爆破 案例介绍 乐峰网用户认证体系存在逻辑漏洞,可修改任意用户密码 1 找回密码部分:两种方式,mail和phone,但是验证码都是6位数字,(邮箱)是24小时有效。 修改密码未校验用户 案例介绍 万网某管理系统密码找回结构控制不严格,导致可修改此管理系统任意账户密码。 自己新买一个域名要做备案,可惜申请时密码忘记了,故找回密码,收到找回邮件链接如下: ?

    1.1K00

    关注

    腾讯云开发者公众号
    10元无门槛代金券
    洞察腾讯核心技术
    剖析业界实践案例
    腾讯云开发者公众号二维码

    相关产品

    • 多因子身份认证

      多因子身份认证

      腾讯安全多因子身份认证(mfas),通过多种身份认证手段组合,确保用户身份的可信,保障平台用户的信息安全。

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券