비밀번호 분실 페이지를 작성 중입니다. 나는 주변에서 읽었고 많은 소스는 사용자가 자신의 전자 메일 주소를 입력하도록 권장합니다. 그러면 전자 메일 주소가 DB에 토큰을 추가하고 GET 변수로 연결된 토큰이 포함 된 링크를 보냅니다.'비밀번호 찾기'페이지에서 만료되는 토큰을 사용해야하는 이유는 무엇입니까?
토큰이 만료 된 경우 나쁜 의도와 이메일 액세스 권한이있는 사람은 비밀번호 분실 페이지로 바로 돌아가서 이메일을 다시 입력하여 새 비밀번호 재설정을받을 수 있습니다. 링크.
다른 누군가가 귀하의 이메일 주소에 액세스 할 수있는 경우 특정 시점에서 만료되는 토큰이 있다는 사실을 알 수 없습니다. '비밀번호 찾기'페이지에서 만료되는 토큰을 사용해야하는 이유는 무엇입니까?
누군가가 이미 이메일 계정에 액세스 한 경우 다른 신원 확인을 요청할 수 있습니다. 일반적으로 실제 사람 만 대답 할 수있는 '보안 질문'에 대한 답변입니다. – Gumbo