关于邮箱找回密码-php教程-PHP中文网

首页

后端开发

php教程

关于邮箱找回密码

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 06, 2016 pm 01:52 PM

php

关于邮箱找回密码，大概是什么思路实现
谢谢

回复内容：

关于邮箱找回密码，大概是什么思路实现
谢谢

你这个问题很简短，但是涉及的范围很广。

这里面会涉及到很多安全问题，稍有不慎就会有不安全因素。

首先，给你教科书级别的OWASP找回密码设计指南：
https://www.owasp.org/index.php/Forgot_Password_Cheat_Sheet

然后给你三篇乌云的文章，用别人的前车之鉴做参考，看看自己有没有类似的不安全设计：

密码找回逻辑漏洞总结：
http://drops.wooyun.org/web/5048
密码找回功能可能存在的问题
http://drops.wooyun.org/papers/287
密码找回功能可能存在的问题（补充）
http://drops.wooyun.org/web/3295

我先说下我的思路:
1.用户输入邮箱,去数据库查询该邮箱是否存在
2.如果存在,立即生成一个路由连接,比如 www.a.com/lost/passpord/key/bac.html
3.key=>bac bac 是某种算出生成的唯一哈希值,放在redis 等缓存系统中,24小时,或者2小时
内有效,让将这个连接发送到该邮箱中,用户点击链接,执行找回密码
4.在找回密码的时候,第一步验证 redis缓存中是否存在该key 哈希值,再执行update重置密码即可.

一般找回密码都是有时效，所以时间是少不了的，然后需要修改的用户也必须包含在里面。
随便找个带密钥的可逆加密函数处理这两个信息生成一个token就可以了。

我的一个思路不需要用到redis和数据库，完完全全不需要独立存储用户找回密码的hash。

楼上有人说的办法在大型业务中，还得搞几台独立的redis服务器啊，有点烧钱。

我的思路是

先用`
md5(用户邮箱，当前时间戳，私钥)+用户邮箱明文，当前时间戳明文

<code>点开这个链接之后先判断时间戳合当前时间之间是否超时。没超时则再次用```
md5(用户邮箱，当前时间戳，私钥)</code>

整个过程由于私钥都在服务端脚本，因此只要它不被泄露，这个系统就是安全的 整个过程理论上没什么问题。

楼上都说的比较好楼主可以总结一下

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

继续使用PHP：耐力的原因Apr 19, 2025 am 12:23 AM

PHP仍然流行的原因是其易用性、灵活性和强大的生态系统。1)易用性和简单语法使其成为初学者的首选。2)与web开发紧密结合，处理HTTP请求和数据库交互出色。3)庞大的生态系统提供了丰富的工具和库。4)活跃的社区和开源性质使其适应新需求和技术趋势。

PHP和Python：探索他们的相似性和差异Apr 19, 2025 am 12:21 AM

PHP和Python都是高层次的编程语言，广泛应用于Web开发、数据处理和自动化任务。1.PHP常用于构建动态网站和内容管理系统，而Python常用于构建Web框架和数据科学。2.PHP使用echo输出内容，Python使用print。3.两者都支持面向对象编程，但语法和关键字不同。4.PHP支持弱类型转换，Python则更严格。5.PHP性能优化包括使用OPcache和异步编程，Python则使用cProfile和异步编程。

PHP和Python：解释了不同的范例Apr 18, 2025 am 12:26 AM

PHP主要是过程式编程，但也支持面向对象编程（OOP）；Python支持多种范式，包括OOP、函数式和过程式编程。PHP适合web开发，Python适用于多种应用，如数据分析和机器学习。

PHP和Python：深入了解他们的历史Apr 18, 2025 am 12:25 AM

PHP起源于1994年，由RasmusLerdorf开发，最初用于跟踪网站访问者，逐渐演变为服务器端脚本语言，广泛应用于网页开发。Python由GuidovanRossum于1980年代末开发，1991年首次发布，强调代码可读性和简洁性，适用于科学计算、数据分析等领域。

在PHP和Python之间进行选择：指南Apr 18, 2025 am 12:24 AM

PHP适合网页开发和快速原型开发，Python适用于数据科学和机器学习。1.PHP用于动态网页开发，语法简单，适合快速开发。2.Python语法简洁，适用于多领域，库生态系统强大。

PHP和框架：现代化语言Apr 18, 2025 am 12:14 AM

PHP在现代化进程中仍然重要，因为它支持大量网站和应用，并通过框架适应开发需求。1.PHP7提升了性能并引入了新功能。2.现代框架如Laravel、Symfony和CodeIgniter简化开发，提高代码质量。3.性能优化和最佳实践进一步提升应用效率。

PHP的影响：网络开发及以后Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP类型提示如何起作用，包括标量类型，返回类型，联合类型和无效类型？Apr 17, 2025 am 12:25 AM

PHP类型提示提升代码质量和可读性。1)标量类型提示：自PHP7.0起，允许在函数参数中指定基本数据类型，如int、float等。2)返回类型提示：确保函数返回值类型的一致性。3)联合类型提示：自PHP8.0起，允许在函数参数或返回值中指定多个类型。4)可空类型提示：允许包含null值，处理可能返回空值的函数。

See all articles