前端之家收集整理的这篇文章主要介绍了
PHP密码恢复,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我意识到,为了安全,密码不应该作为明文存储在
数据库中.如果我哈希,我可以验证他们的
登录目的.
但是,如果我想设置一个密码恢复系统,那么最好的策略是什么,因为没有消除哈希?
有人可以简要介绍一下存储和恢复密码的良好安全策略吗?
您无法恢复已经散列的密码,也不应该.
你应该做的是:
>对密码重置请求进行一些验证,如CAPTCHA.>创建一次性随机代码,并发送一个链接到用户的电子邮件.>有一个小时内有这个代码过期.>使用此代码后立即过期.>在与代码的链接上,如果验证,允许他更改他的密码.>通知他密码已更改,但不要将其发送到电子邮件中.