所以,我一直在玩asp:PasswordRecovery
,我發現我真的不喜歡它,有以下幾個原因:密碼恢復,而不通過電子郵件發送密碼
1)Alice的密碼,甚至可以無需訪問重置愛麗絲電子郵件。密碼重置的安全問題緩解了這一點,但並不能真正讓我滿意。
2)Alice的新密碼以明文形式發回給她。我寧願給她發一個特殊的鏈接到我的網頁上(例如像example.com/recovery.aspx?P=lfaj0831uefjc這樣的網頁),這會讓她改變她的密碼。
我想我可以通過創建某種類型的過期密碼恢復頁面表並將這些頁面發送給要求重置的用戶來完成此操作。不知何故,這些頁面也可能會在後臺更改用戶密碼(例如,通過手動重置它們,然後使用新密碼的文本更改密碼,因爲如果不知道舊密碼,就不能更改密碼)。我相信其他人以前曾經遇到這個問題,這種解決方案讓我覺得有點難以理解。有一個更好的方法嗎?
理想的解決方案不是通過直接訪問數據庫來違反封裝,而是使用數據庫中現有的存儲過程......儘管這可能是不可能的。
嗯,這與我的問題表明我可以做的幾乎相同。 – Brian 2010-04-02 19:26:04