4
示例方案:使PasswordRecovery控件可以鎖定用戶嗎?在使用SQL Server成員資格提供ASP.NET應用程序
1)用戶無法記住其確切的密碼,並試圖在短時間內多次使用無效密碼登錄(比如10分鐘窗口中5次)。這將用戶鎖定(即,將aspnet_Membership表的IsLockedOut標誌設置爲1)。
2)用戶轉到「忘記我的密碼」屏幕嘗試獲取通過電子郵件發送給他們的新密碼。該屏幕使用PasswordRecovery控件。用戶輸入他們正確的用戶標識,但是因爲IsLockedOut標誌是1,所以不能進一步進行密碼恢復過程。(他們甚至沒有看到他們的安全問題)。
3)然後,用戶將不得不電話技術支持,以讓自己解鎖等
要通過使PasswordRecovery控件減少對支持人員的負擔,我們正在努力減少時間第3步是必需的, (如果可能的話),與鎖定的用戶一起工作。即當他們輸入他們的登錄ID時,出現安全問題,如果他們輸入正確答案,系統將解鎖用戶,並將新的臨時密碼通過電子郵件發送給他們。我想知道是否可以調整PasswordRecovery控件來做到這一點。或者,也許這種方法有安全問題?