腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
Codeigniter:发送超时邮件
php
、
email
、
forgot-password
在我的应用程序中,我有一个忘记密码的功能,所以如果用户丢失了密码,他们可以单击一个菜单,他们会收到一封带有URL的电子邮件来重置他们的密码。 我想对此功能应用一个时间限制。因此,如果超过一定时间,用户将无法使用电子邮件中发送的相同URL重置其密码。 public function password_post() { // $email = trim($this->input->get_post('email')); $data = array ( 'username' => $this->input
浏览 0
提问于2015-06-09
得票数 0
1
回答
如何在Drupal7中重置密码?
drupal
、
drupal-7
、
drupal-modules
我想要以下功能,当用户点击“忘记密码”时, 我希望用户收到一封重置密码的电子邮件。(例如,)当他单击该链接时,将发送一个密码重置链接,应生成新密码并发送到他的电子邮件 有什么想法吗? 谢谢
浏览 4
提问于2015-04-29
得票数 0
1
回答
如何通过用php编写用户的电子邮件来获得用户的id?
php
、
wordpress
、
woocommerce
我正在创建一个端点,以便能够在用户忘记密码的情况下向他们发送电子邮件,只需输入他们的电子邮件就可以向他们发送一封电子邮件来重置一个新密码,我只需要获得他们输入的电子邮件的id,就可以在php mailer中更改您的密码。
浏览 1
提问于2022-04-06
得票数 -2
回答已采纳
2
回答
密码重置而不输入电子邮件(ASP.NET标识)
asp.net
、
asp.net-identity
当前ASP.NET身份密码重置(通过电子邮件验证)要求用户输入电子邮件,重新设置新密码。但是,在密码重置的大多数情况下,只需要一个新密码。这是怎么做到的呢? 我发现用户id是通过收到电子邮件找到的,例如: var user = await UserManager.FindByNameAsync(model.Email); 是否可以直接从密码重置的CallbackUrl获得用户id,因为它包含用户id?还是有更好的替代方法?
浏览 3
提问于2014-12-08
得票数 4
回答已采纳
1
回答
Laravel5.8密码重设电子邮件验证
laravel
、
laravel-5.8
、
email-verification
、
password-recovery
在Laravel5.8你有这个很好的电子邮件验证功能的盒子。 但是,假设用户注册了一个帐户,他们会收到一封他们选择忽略的电子邮件验证邮件,然后决定密码重置(注意,密码重置路由没有经过电子邮件验证的中间件)来触发密码重置通知。当用户单击密码重置链接时,用户可以重置他们的密码,然后应用程序尝试将他们登录,然后重定向他们以验证他们的电子邮件,因为用户帐户dashborad路由有验证电子邮件中间件。 这个授权定位流是违反直觉的,因为当用户请求重新设置密码时,是否也应该验证他们的电子邮件帐户? 我想知道你们会怎么处理这个过程? 每次密码重置后,会不会简单地更新email_verified_at列(如果没
浏览 2
提问于2019-10-18
得票数 2
2
回答
为什么Django的用户模型将电子邮件字段设置为非唯一的?
python
、
django
、
security
、
django-models
我使用Django的默认用户模型,电子邮件并不是唯一的,现在我有多个用户具有相同的电子邮件地址。 您可以让User_A的电子邮件地址user_a@example.com,然后一个新的用户User_B可以注册到相同的电子邮件地址user_a@example.com。 这在任何编程领域都是没有意义的,它将导致与电子邮件发送功能的混淆,以及可能的错误密码重置(如果发送了密码重置链接,两个用户共享相同的电子邮件地址)。 在我看来,这并不是一个明显的安全漏洞,因为只有原始用户才能控制原始的电子邮件地址,因此攻击者不会接收重置的电子邮件。 但是,这可能导致原始用户User_A被锁定在他的原始帐户之外(如果
浏览 5
提问于2013-07-07
得票数 6
1
回答
创建重置Azure AD密码功能
azure
、
azure-ad-b2c
我想从我们的门户创建Azure AD重置密码功能。当我们登录到门户网站时,我们看到了Microsoft登录屏幕。从该屏幕,用户可以重置密码,并导航到MS Azure AD重置屏幕,并自动填写电子邮件。 我想实现相同的功能(使用动态电子邮件id(选定的用户电子邮件id)导航到此屏幕。
浏览 1
提问于2016-12-30
得票数 1
2
回答
使用用户Id而不是电子邮件发送密码恢复令牌安全吗?
ruby-on-rails
、
security
、
devise
我有一个具有帐户恢复流的Rails + Nuxt项目。 当用户忘记注册的电子邮件和密码时,就会发生这样的情况。用户可以通过提交他的帐户id来记住他的电子邮件。然后,Rails使用用户的id和电子邮件的模糊版本进行响应。 此时,用户已经知道他的电子邮件,但不知道他的密码。所以他点击“记住密码”按钮。 默认情况下,Devise ( auth lib)期望完整的电子邮件提交(而不是混淆),以便生成恢复链接并将其发送给用户。但此时此刻,只有模糊的电子邮件是可用的,我不想打扰用户填写完整的电子邮件,因为我已经知道他是谁(从帐户id)。 这么说,我想知道是否有一些安全方面的问题,为了通过使用用户的id而不
浏览 7
提问于2021-12-22
得票数 0
回答已采纳
2
回答
不安全的直接对象引用-更改客户端的电子邮件
web-browser
、
vulnerability
我正在测试一个有“忘记我的密码”功能的网站。如果用户单击该链接,他的电子邮件地址将显示为超链接。如果单击该地址,将触发用于重置密码的电子邮件到该地址。作为最终用户,我可以使用工具更改超链接,指向其他有效的电子邮件地址,并触发密码重置给该用户。我应该指出这个问题吗?这个问题可能会产生什么影响?
浏览 0
提问于2019-03-20
得票数 2
1
回答
不登录的颤振火源重置密码
flutter
、
firebase
、
firebase-authentication
是否可以在没有登录的情况下重置防火墙用户密码?我正在实现忘记密码屏幕,用户输入他们的电子邮件地址并将OTP发送到用户电子邮件地址,OTP存储在firebase数据库集合中。一旦验证了OTP,他们就可以从颤振应用程序本身重置密码了。 谢谢,
浏览 5
提问于2022-10-09
得票数 0
5
回答
如何保护重置密码功能?
security
、
authentication
、
user-interface
、
authorization
我想实现一个重置密码功能,以防用户丢失他们的密码。但我担心有人能够为一个或多个不属于他的电子邮件地址发出大量这样的请求,这会让这些地址的实际所有者感到恼火,而我最终会被列入黑名单。 我能做些什么来保护这个特性不受影响呢?设置每个ip发送的有效电子邮件的限制?(我想最多3封电子邮件就可以了)
浏览 1
提问于2011-08-19
得票数 2
回答已采纳
2
回答
通过用户名自定义Azure B2C密码重置流
azure
、
azure-active-directory
、
azure-ad-b2c
我使用Azure B2C和本地Azure帐户设置了一个密码重置流,使用用户的电子邮件地址和验证代码。然而,我的客户希望有一个密码重置电子邮件发送给用户根据用户名,而不是电子邮件地址。用户电子邮件将在幕后查找,发送的电子邮件将包括密码重置页面的链接,如下面的流程所示。 在阅读了无数篇关于自定义Azure B2C政策的文章之后,我很难说服自己是否可以按照客户的要求使用Azure B2C。 在下面显示的示例密码重置流程中,我正在努力解决的一些领域包括: 是否可以在密码重置流中创建自定义页面,如步骤4中显示用户屏蔽电子邮件地址的页面,或步骤7中的信息页? 是否有内置的功能来根据用户的用户名查找
浏览 1
提问于2019-03-25
得票数 3
回答已采纳
3
回答
重置ASP.NET标识密码失败
asp.net
、
asp.net-mvc
、
asp.net-identity
我正在使用ASP.NET MVC5标识,希望用户能够通过输入电子邮件来重置他们的密码。 只有固定数量的用户,他们已经被设置,包括一个电子邮件入口。如果用户来到网站,他们可以点击“发送我的密码”链接,这应该发送有效的密码到保存的电子邮件。 我想管理员接收当前密码是不容易的,所以我认为有必要重置密码,然后创建邮件: [HttpPost] [AllowAnonymous] public JsonResult RecoverPassword(string usersEmail) { try { //"db&
浏览 3
提问于2014-05-18
得票数 0
回答已采纳
1
回答
如何检查用户电子邮件是否已在没有currentUser的防火墙中得到验证
android
、
firebase
、
firebase-authentication
、
google-cloud-functions
、
email-verification
在我的应用程序中,我面临的情况是,我有用户的电子邮件,但没有密码,所以我无法登录,无法获得Firebase auth.currentUser,我想知道的是,在发送密码重置链接之前,用户电子邮件是否已验证,因为在重置密码后,用户电子邮件将被验证,但我没有currentUser,因此不能使用curruser.isEmailVerified 我该怎么查呢? 在这里可以使用Firebase云函数吗? 说明:用户未登录,用户忘记密码和用户想要重置密码,但我想知道的是用户是否已被验证,因为在注册时,我正在发送验证链接,并将该用户存储在我的数据库中,如果已验证了电子邮件,但用户将不安全地单击该链接,但是用户
浏览 2
提问于2022-03-07
得票数 0
1
回答
在drupal 7中重置密码
7
、
users
当用户单击忘记密码时,我希望获得以下功能。 我希望用户将收到一封电子邮件,以使他的密码休息。当他点击链接时,一个新密码将生成并发送到他的电子邮件中。 有什么想法吗? 谢谢
浏览 0
提问于2015-04-29
得票数 1
2
回答
设置django密码重置令牌的过期时间
python
、
django
、
django-users
我使用的是Django内置的密码重置功能,它会通过电子邮件向用户发送密码重置链接。在Django中有一个选项来设置链接的过期时间吗?假设6小时后链接变得无效,用户将不得不再次请求密码恢复。
浏览 9
提问于2014-01-16
得票数 20
回答已采纳
3
回答
MongoDB自定义新用户电子邮件确认
mongodb-stitch
我正在使用MongoDB Stitch电子邮件/密码提供者。当一个新用户注册时,是否有一种方法可以自定义发送给确认的电子邮件? 如果没有,是否有可能预先阻止这些电子邮件被发送,并建立自己的功能。换句话说,Stitch仍然会维护用户/密码身份验证,而我只是对邮件确认过程进行编程。 我知道在Firebase,他们限制这些电子邮件的编辑,因为它可以用于垃圾邮件,所以唯一的选择是自己写它。我更喜欢这样做,而不是使用Stitch‘自定义身份验证’提供程序,因为我将不得不创建整个用户管理过程。
浏览 1
提问于2019-04-14
得票数 0
回答已采纳
1
回答
生成唯一的linq以恢复密码
java
、
spring
、
spring-security
、
oauth-2.0
、
jwt
我使用JWT和java spring安全性来保护应用程序中的路由。 我需要创建忘记密码功能,以恢复密码,如果用户忘记他的密码。 这个过程是相当标准的用户是把他的电子邮件,并到达他的电子邮件帐户,一个独特的链接,以输入一个新的密码。 唯一的联系应该是: www.somewebsite.com/auth/reset?UUID="VeryLongString" 我的问题是,在后端生成一个JWT令牌(带有到期)并将其设置为重置密码的令牌是一个很好的做法: www.somewebsite.com/auth/reset?token="VeryLongJWTString" .
浏览 3
提问于2022-03-11
得票数 0
1
回答
如何在asp.net web api中制作小密码重置令牌?
c#
、
asp.net-web-api
、
asp.net-identity
、
websecurity
我使用默认的GeneratePasswordResetToken方法在用户的电子邮件中发送密码重置令牌,但它相当大,比如200到300个字符。我想制作更小的令牌,比如5/6位数长,它的寿命在3分钟内到期。我该怎么做呢?
浏览 20
提问于2019-05-16
得票数 0
回答已采纳
1
回答
在一封电子邮件中允许多个帐户存在的缺点是什么?
authentication
、
password-management
我运行一个网站,用户使用电子邮件和密码进行身份验证。有些用户希望有两个或三个帐户使用相同的电子邮件地址。我在他们的情况下看到了用例,并试图找出它有哪些缺点。 至于身份验证,我没有看到它们:基本上,这是一个查询,其中电子邮件和密码都是变量。这样就行了。 密码重置在丢失的情况下不会工作,因为电子邮件是唯一的变量在这种情况下。因为管理员可以手动重置密码,这是可以接受的。 有什么东西我忽略了吗?
浏览 0
提问于2016-03-29
得票数 1
回答已采纳
1
回答
重置密码卡在无效电子邮件上
python
、
django
、
email
、
weblate
我在Weblate安装(一个基于Django的翻译系统)中注册了一个用户,并为用户输入了一个不正确的电子邮件地址。在尝试发送重置密码电子邮件后,我收到了来自邮件提供商的一封Delivery Status Notification (Failure)电子邮件,其中包含错误代码550 Requested action not taken: mailbox unavailable。 之后,无论我在重置密码电子邮件表单中输入了哪个电子邮件地址(甚至其他用户已经注册),Django尝试将重置电子邮件发送到不正确的电子邮件地址。我从邮件提供商那里收到了类似的回放消息。发送的电子邮件具有相同的目标地址和验证
浏览 1
提问于2016-05-23
得票数 1
回答已采纳
5
回答
如何轻松地在多个网站上重置密码?
password-reset
、
have-i-been-pwned
我的一个旧电子邮件地址与最近的白页信息披露有关。 我不记得我在哪些网站上使用该电子邮件地址进行注册,但我想重置我的密码在任何可能的地方。网站可以包括: Facebook、Google、Amazon、eBay、Paypal等--基本上是最常用或敏感的web应用/平台。 这一点特别重要,因为我当时没有使用密码管理器,而且可能已经重复使用了密码。 是否有一种自动启动密码重置的方法,主要是通过在普通平台上请求密码重置电子邮件,给出我可以访问的单个电子邮件地址?
浏览 0
提问于2019-03-27
得票数 34
回答已采纳
1
回答
无法使用任何电子邮件地址登录drupal
users
我收到“帐户批准”垃圾邮件在我的电子邮件地址之一。我不能登录到Drupal使用该或任何其他电子邮件地址,我正在使用。当使用各种电子邮件地址请求新密码时,所有密码都会被拒绝。创建一个新的帐户允许我安装模块(S)来消灭垃圾邮件吗?
浏览 0
提问于2015-05-28
得票数 0
1
回答
Laravel 5.1测试-从数据库获取行以完成测试
php
、
mysql
、
testing
、
laravel-5.1
我正在用Laravel 5.1构建一个测试例程,以运行我刚刚创建的登录过程。作为测试的一部分,我想测试密码重置和更改过程。 问题是密码重置过程在表中生成和行,并带有时间戳和uuid。该链接在1小时内保持有效,以便重置起作用。 流程是: 1-通过输入电子邮件地址重置密码 2-系统生成带有uuid链接的电子邮件并发送给用户(当前显示在Laravel日志中)。 3-用户单击电子邮件中的链接,如果在生成链接后的一小时内,用户将看到密码更改屏幕。该链接也将从表中删除。 现在来看我的测试代码: public function testSendPasswordLink() { $this->v
浏览 1
提问于2015-08-12
得票数 3
1
回答
如何使用与Firebase提供的不同的电子邮件服务来验证电子邮件和更改密码?
angular
、
firebase
、
firebase-authentication
、
angularfire2
我正在做一个角度项目,它使用Firebase来处理身份验证和数据存储。 但是由于Firebase电子邮件不允许定制的、花哨的模板,我想使用不同的电子邮件服务,但我不知道如何确切地使用'auth.confirmPasswordReset‘这样的函数来表示忘记密码和'auth.applyActionCode’。 忘记密码的问题是,要能够在没有电子邮件代码的情况下更改密码,用户需要进行身份验证,但要进行身份验证,则需要知道他们的密码。我不知道我是否可以在Firebase中强行更改用户的密码,只需知道他们的电子邮件,然后确认第三方应用程序发送的自定义令牌。 电子邮件验证的问题更容易解决
浏览 0
提问于2018-08-27
得票数 0
回答已采纳
3
回答
在codeigniter中对可用作URL一部分的电子邮件地址进行编码
email
、
codeigniter
、
encoding
有没有一种方法可以将电子邮件地址编码为codeigniter中url的一部分?我需要从url中解码出电子邮件地址。 我正在尝试做的只是一个-forgotten密码恢复的事情。我发送一个确认链接到用户的电子邮件地址,该链接需要像../encodedEmail/forgottenPasswordCode一样(在数据库中为提交的电子邮件更新用户的forgottenPasswordCode )。 当用户访问该链接时,我解码电子邮件(如果表中有email - forgottenPasswordCode对),允许他们重置密码(并将forgottenPasswordCode重置为空)。 我可以只使用一个se
浏览 2
提问于2010-11-19
得票数 1
回答已采纳
1
回答
如何为密码管理器实现重置密码
encryption
、
passwords
如何最好地为密码管理器实现重置密码功能?我目前正在保存一个哈希+盐渍主密码,并使用主密码本身加密密码,但是如果用户丢失了他的主密码,这意味着密码不能解密。 我想过保存一个用主密码加密的密码版本和一个用用户电子邮件加密的版本,以及在用户创建帐户时生成的一些随机令牌,但这样做安全吗?在这样做的时候有什么最佳做法吗? 用户的电子邮件也只能作为散列存储。 因此,为了澄清我的问题,如果密码丢失了,是否有恢复用密码加密的数据的最佳实践?
浏览 3
提问于2017-03-06
得票数 0
3
回答
为什么一次密码重置链接比一次密码更安全?
passwords
、
email
、
one-time-password
、
password-reset
最近我在一家公司申请了一份工作 安全-军事、航天、.的关键解决方案. 在他们的网页注册后,我收到了一封带有用户名的电子邮件和一个明文的一次性密码。我的第一反应是对他们的无能感到恐惧,尤其是考虑到安全应该是他们的核心能力,但经过仔细考虑后,我意识到我是一个新用户,目前还没有任何危险。但后来我看到他们的密码重置功能实际上是发送一个明文一次性密码。 这让我想,用明文发送一次性密码真的很糟糕吗?尤其是那些声称靠安全为生的人? 我读到这个高投票率的答案说你不应该通过电子邮件发送任何密码。相反,如果你的用户忘记了他的密码,你应该给他们一个一次性的密码重置链接。 但是,一次性密码和一次性链接之间的根本区别是
浏览 0
提问于2017-01-20
得票数 15
回答已采纳
2
回答
将用户的电子邮件保存到php会话变量以供以后使用是否安全?
php
、
session-management
我正在为我的项目创建密码重置功能。我现在让我的网站发送一个密码重置链接到用户的电子邮件,如果他们要求,并验证正确的链接时,点击(检查选择器和验证器令牌,而不是过期),然后显示表单,以创建一个新的密码。我遇到的问题是找到一种方法,一旦用户提交了新密码,就可以更新数据库中正确的用户密码。实现这一目标的一种方法是在我的密码重置数据库表中获取与匹配的选择器和验证器令牌相关联的电子邮件,并将其存储到会话变量中,以便由另一个php文件访问它,以便在我的用户数据库表中更新用户的密码。我想知道这种方法是否对用户有任何安全风险,还是一个有效的方法?
浏览 0
提问于2020-04-10
得票数 0
1
回答
当没有配置电子邮件时,我如何才能让我的django应用程序以密码重置的方式优雅地失败?
django
、
email
、
passwords
如果我在这样的模板中使用Django的密码重置 <li><a href="{% url django.contrib.auth.views.password_reset %}">Forgot password?</a></li> 然后,如果我没有配置电子邮件服务器,它仍然会提供发送电子邮件,甚至不会出错,当它没有。 有什么办法可以减轻用户的困惑吗?
浏览 3
提问于2011-07-12
得票数 3
7
回答
通过链接重新设置密码后登录用户
authentication
、
password-management
假设密码重置功能流如下: 用户提交用于其帐户的电子邮件地址。 一封电子邮件被发送到该电子邮件地址,带有一个带有密码重置哈希的链接。 单击后,用户可以重置密码。 在密码重置完成后,我看到网站将用户重定向到登录页面。密码重置完成后自动登录用户是否存在安全风险?
浏览 0
提问于2013-02-18
得票数 24
回答已采纳
1
回答
在不同浏览器中连接访问者
adobe-analytics
我们正在跟踪一个使用adobe催化剂的忘记密码工作流操作。这种流动发生在下面 用户请求忘记密码 他提供电子邮件地址并单击create新密码。 新密码生成就像是发送到他的电子邮件地址。 用户单击此链接并生成新密码。 前3个操作发生在同一个浏览器中。第四个活动可以在同一个浏览器或不同的浏览器中进行。因此,网站催化剂将用户视为不同的用户(不同的访问者ID),并认为这是一次完全不同的访问。理想情况下,完成活动4的用户数量应该少于完成1,2,3。但对于我们来说,我们看到更多的用户完成活动4,这可能是由于不同的访问问题。 有人能建议一个更好的方法来解决这个问题吗?
浏览 0
提问于2018-01-25
得票数 0
1
回答
在默认的ASP.NET核心项目中,为什么“忘记密码”功能要求用户邮件两次?
asp.net
、
asp.net-core
、
identity
、
forgot-password
在VisualStudio2017中,如果您创建一个新的ASP.NET核心网络应用程序(Razor ),配置为使用单个用户帐户和在应用程序中存储用户帐户,则“忘记密码”流如下所示。 用户转到登录页面 用户点击“忘记您的密码?” 用户输入电子邮件地址,然后单击“提交”。 向用户发送一封电子邮件,并提供重置密码的链接。此链接包含用户id (Guid)和用于重置的代码。 用户点击链接,并被带到“重置密码”页面。 用户输入电子邮件、密码和确认密码,然后单击“重置”。 然后重新设置密码。 我的问题是,考虑到用户id已经在URL中,是否有特定的原因要求用户在步骤6中输入他的
浏览 0
提问于2018-04-17
得票数 3
回答已采纳
1
回答
启用Azure中重置密码功能的最低要求
active-directory
、
azure
最近我从假日回来,发现我不能再登录到我的工作(Azure/Microsoft?)账号。此帐户是通过“Active Directory”(免费)作为客人添加的。 当我试图重置帐户密码时,我会收到一条消息,说明Admin没有启用/配置重置功能。 我的同事是我们Azure帐户/服务的“全球管理员”,但是Azure仪表板中的所有用户,包括他们自己,都禁用了“重置密码”选项,而在“Active Directory”中,如果没有升级到“高级”,就无法启用外部“密码重置”选项。 我们想知道重新启用我的帐户的最简单的方法。是否有办法免费重置一个帐户密码,或者我们必须让一些付费的Azure服务这样做? 更多信息
浏览 0
提问于2018-02-02
得票数 -2
2
回答
防火墙电子邮件和密码认证-访问用户密码
authentication
、
ember.js
、
firebase
、
firebase-security
我们正在构建一个以Ember JS和Firebase为后端的员工敬业调查平台。 我们使用Firebase的电子邮件和密码认证来存储用户的密码。我们不能把密码储存在我们的火力库里。 应用程序流程如下: 管理员创建一个调查并添加问题。 管理员将用户添加到调查中(包括姓名、电子邮件和密码) 管理员向用户发送电子邮件 用户登录并回复调查 从上面的工作流中可以看出,我们需要一个“电子邮件管理器”,它根据用户的调查状态向他们发送电子邮件(例如:“未开始调查”、“调查部分完成”等)。 在我们发送的电子邮件中,我们需要发送用户的登录凭据(即电子邮件和密码),以使他们能够登录。电子邮件示
浏览 2
提问于2015-11-10
得票数 0
回答已采纳
3
回答
密码恢复流程-发送密码恢复到任何电子邮件?
asp.net-mvc-4
、
password-recovery
、
forgot-password
我正在构建一个新的MVC应用程序。考虑到这个“忘记密码”流: 1)输入电子邮件。 2)按“发送恢复密码”。 3)电子邮件在收件箱中等待,按其中的链接将您带到“新密码”屏幕。 在第一阶段,您提供的电子邮件没有限制。(它甚至可能不存在)。 这个流程有什么重大安全漏洞吗?
浏览 3
提问于2014-10-15
得票数 0
回答已采纳
1
回答
为什么在忽略电子邮件客户端时使用密码管理器来保护浏览器登录?
passwords
、
password-management
朋友们使用密码管理器,如lastpass或dashlane,它们有浏览器插件,但不用于电子邮件客户端(thunderbird或livemail)。但是,电子邮件密码无疑是安全的致命弱点,因为如果你有这个弱点,你可以很容易地执行密码重置来访问任何使用的网站。 如果密码管理器没有保护您的电子邮件客户端,特洛伊木马会窃取包含电子邮件密码的电子邮件配置文件。 当然,如果您不使用电子邮件客户端,您就不会有此漏洞,但许多漏洞仍然存在。很多人使用密码管理器和电子邮件客户端,那么我的逻辑中的缺陷在哪里呢?
浏览 0
提问于2015-04-11
得票数 4
1
回答
电子邮件通知帐户锁定
authentication
、
password-management
、
password-reset
我正在为我们的web应用程序要求一个功能的优点进行辩论。 该请求要求在帐户被锁定时向用户发出电子邮件。5次尝试失败后,帐户将被锁定。对于每一次失败的尝试,用户只需被告知一个无效的用户名/密码,我们并不表示帐户被锁定在前端,以减轻用户名枚举的影响。 我反对这一要求的要点是 我建议这个功能可以打开电子邮件系统攻击,通过锁定所有用户的帐户和发布电子邮件大规模假设有人知道所有的用户名。 功能不增加用户的价值,因为我们的产品提供了一个很好的忘记密码能力。 任何想法,建议或行业标准。据我所知,只要有一个安全的特性,允许用户启动忘记的密码就足够了。
浏览 0
提问于2016-11-22
得票数 0
1
回答
用于电子邮件验证帐户的JWT
authentication
、
web-application
、
token
我正在考虑为我的网站使用这个注册流程: 1)用户通过输入电子邮件和密码注册。 2)将电子邮件和散列密码输入我的数据库 3)然后以url + jwt (包含电子邮件并在1小时内过期)字符串作为参数构造电子邮件。 4)用户接收电子邮件并点击链接。 5)将链接发送到我的服务器,在服务器上解析参数并检查jwt是否过期。 6)如果没有过期,我就会收到电子邮件,并在我的数据库中将帐户标记为有效的。 这种方法是否有明显的漏洞,会留下很大的漏洞?
浏览 0
提问于2015-06-10
得票数 3
1
回答
Azure AD B2C注册-使用MFA登录策略-自定义登录页
azure
、
azure-blob-storage
、
azure-ad-b2c
我有一个asp.net web应用程序,它通过Azure B2C租户进行身份验证。我有一个注册登录策略登录是使用用户名,而不是电子邮件与MFA打开。我还在策略指向的存储blob中设置了自定义UI登录页unified.html和MFA页面phonefactor.html。我可以通过自定义登录页面对用户进行身份验证,并使用MFA登录。问题是当我创建一个新用户并强迫用户在第一次登录时更改密码,而不是将用户重定向到更改密码屏幕,我将得到无效的用户名和密码消息。当我使用登录策略而不是登录时,更改密码的重定向对新用户有效。但是登录策略没有为登录页面指定自定义UI的选项。我在这里遗漏了什么吗?我怎样才能用签
浏览 3
提问于2017-06-16
得票数 2
回答已采纳
1
回答
使用firebase向用户发送带有他们提供的电话号码的消息
android
、
firebase
、
firebase-authentication
我正在使用firebase登录,并在android应用程序中启用了电子邮件身份验证。 在注册时,我将收到电话号码以及电子邮件和密码。当我的用户单击“忘记密码”时,我想用新密码向他们的号码发送一条消息。 我不知道该怎么做,所以请帮帮我。
浏览 4
提问于2021-06-22
得票数 0
4
回答
asp.net中的电子邮件
asp.net
、
webforms
、
asp.net-development-serv
可能重复: 如何使用ASP.NET页面发送电子邮件作为忘记密码,密码将自动电子邮件到备用id。我需要如何能够发送电子邮件从ASP.NET页面使用C#。
浏览 6
提问于2011-02-23
得票数 2
回答已采纳
3
回答
如何在没有电子邮件的情况下重置主厨web服务器的密码
chef
、
chef-server
我在云中运行一个主厨服务器。我无法登录到“主厨管理”的网页界面,因为我忘记了我的密码。 我仍然可以使用刀(例如)使用服务器从我的工作站更新节点。 我仍然可以使用我的私钥向服务器发送ssh。我试着运行sudo private-chef-ctl password myusername并“成功”更改了我的密码;但是,当我尝试使用新密码登录时,web界面仍然说:“达到最大登录失败,请重置您的密码。” 当我在网络界面中提交密码重置表单时,它会说“您的密码重置电子邮件已经发送”,但我的服务器没有配置为发送电子邮件。 如何重新设置密码,以便可以使用web界面登录到主厨服务器?
浏览 0
提问于2016-05-17
得票数 2
1
回答
如何在不影响身份验证过程的情况下重置第二个因素身份验证
authentication
、
access-control
、
recovery
我正在设计一个使用双因素认证的系统。其中,只有当两个身份验证因素通过验证时,用户才能授予访问权限。 让我们假设第一个因素只是基于密码的认证,第二个因素是指纹生物识别。 现在,如果用户想要重置密码,就没有什么大问题了。用户点击密码重置按钮,系统电子邮件给用户一个重置密码链接,或者系统可以更积极地要求用户使用指纹验证他的身份,然后再将重置密码链接发电子邮件给他。对我来说,这听起来不错 但另一方面是我不喜欢的东西。让我们说,用户想要重置指纹,当然,有人可以问,为什么指纹不改变(尽管这并不完全正确),但让我们说,用户将使用另一个手指,如拇指,而不是食指。在这里,我可以看到一个问题--系统的安全级别下降
浏览 0
提问于2015-04-02
得票数 2
回答已采纳
1
回答
Tableau 2019忘记密码链接自动重定向到登录屏幕
tableau-api
、
change-password
最近升级到Tableau 2019.2.4后,我尝试从登录页面实现自助服务“忘记密码”链接。 我们使用本地身份验证。 tsm set features.PasswordReset true 成功地在Tableau登录屏幕上显示“忘记密码”链接,供用户单击。 在测试期间,测试用户单击登录屏幕上的“忘记密码”链接,根据提示输入用户名,然后收到一封包含密码重置链接的电子邮件。 但是,当测试用户单击密码重置链接,或者将电子邮件中给出的完整URL复制到浏览器中时,他们会立即被重定向到登录屏幕。 例如,他们陷入登录屏幕的循环->单击忘记密码链接->输入用户名->打开电子邮件->
浏览 40
提问于2019-11-18
得票数 0
回答已采纳
2
回答
如何防止有人猜测重置密码链接中的令牌
.net
、
asp.net-mvc
目前,我有以下设置,用于处理忘记密码的用户。 用户输入他/她的电子邮件地址并按下“忘记密码”按钮。 我查找属于该电子邮件地址的用户,并将一个新的“忘记密码请求”存储在数据库中。忘记密码请求项如下: Guid ForgotPasswordRequestId;Guid UserId;DateTime ValidUntil; 通过将ForgotPasswordRequest Guid转换为Base64字符串,生成标识忘记密码请求的令牌。Guid是一个版本4 Guid (随机,而不是基于时间或MAC地址)。有关实现的注释,请查看此MSDN链路。 我创建了一个类似于www.example.com/acc
浏览 0
提问于2015-09-10
得票数 4
1
回答
Firebase自定义无密码登录电子邮件模板
firebase
、
firebase-authentication
、
firebase-console
我正在尝试在Firebase应用程序中实现无密码登录 我现在遇到的问题是,我想更改发送给我的用户的电子邮件的模板,而不仅仅是默认的“我们收到了使用此电子邮件地址登录到{app}的请求”,但我似乎在任何地方都找不到模板。 在Firebase控制台的“身份验证”部分的“模板”选项卡中,它似乎没有出现在其他电子邮件模板中。 有没有任何方法来改变这个模板,或者我只是停留在这个电子邮件的默认措辞?
浏览 1
提问于2021-02-09
得票数 3
回答已采纳
1
回答
如何使用Supabase从Swift发送“密码重置”电子邮件?
swift
、
authentication
、
swiftui
、
supabase
我试图在我的快速应用程序中为用户保存密码。我用Supabase做后端。我怎么能触发发送? 在Java或颤振中,这就像: supabase.auth.resetPasswordForEmail( 'sample@email.com') 但在迅捷中我不能选择这个选项..。有人能帮我吗? supabase.auth.update(password: newPw) 我可以更新密码,但不能发送电子邮件
浏览 45
提问于2022-11-01
得票数 1
1
回答
如何使用django-rest-auth和Mailgun从Django发送密码重置电子邮件
django
、
email
、
django-rest-auth
我在Django中使用Django rest auth设置用户身份验证。大多数事情都运行得很好,但我不能得到密码重置电子邮件发送,无论是在虚拟后端或与邮件枪。 我跟随this tutorial设置了基本身份验证。本教程中的所有内容都运行得很好,但没有解释如何进行密码重置。 我有一个邮箱帐户,正在尝试使用沙箱发送邮件。 # api/urls.py from django.urls import include, path urlpatterns = [ path('rest-auth/', include('rest_auth.urls')),
浏览 14
提问于2018-12-29
得票数 0
2
回答
通过电子邮件向用户发送密码
laravel
我想知道,在安全性方面,通过电子邮件向新用户发送解密密码是否是一种良好的做法。有人能告诉我他的感受吗? 如果我想发送解密的密码,我应该使用这个吗? $decrypt= Crypt::decrypt($user->password); 提前谢谢
浏览 0
提问于2017-04-11
得票数 1
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
利用密码重置功能实现账号劫持
忘记WiFi密码别重置,打开这个微信功能,轻松看到账号密码
第三方支付平台重置密码功能存在安全漏洞,如何防盗看过来
渗透测试实战:利用列目录漏洞重置密码
Shopify卖家如何设置客户帐户?Shopify客户帐户设置教程
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券