生成密码重置密码

Question

我正在做一个允许用户重置密码的模块。我注意到大多数网站如何提供一个确认链接，其中包含具有唯一哈希的查询字符串。

我的问题是：每次同一个用户请求忘记密码时，如何生成这个唯一的哈希？我应该将此哈希存储在数据库中并稍后将其用于验证吗？会安全吗？或者我应该创建某种生成一次性密码的算法？如何生成 OTP？

Answer 1

是的，你应该

1. 生成随机重置令牌。参见例如this answer。
2. 将其存储在数据库中（可能有过期时间）
3. 使用重置令牌向用户发送电子邮件。
4. 用户使用查询字符串中的重置令牌访问重置密码页面。
5. 检查数据库以查看与重置令牌关联的用户以及是否尚未超过到期时间。
6. 如果一切正常，允许用户重置密码并从数据库中删除重置令牌。

对于重置令牌（或任何您想称呼它的名称）的生成似乎存在很多混淆。请阅读我链接到的答案，不要用散列和弱种子重新发明*。

Answer 2

只需使用一些带有用户 ID、用户加盐（你加盐用户密码，对吗？）和伪随机数据的哈希函数就可以了：

$pwd_reset_hash = hash ( 'sha256' , $user_id . $user_salt, uniqid("",true));

将其存储在数据库中（连同请求时间）作为该用户的重置键

 user_id  pwd_reset_hash  time_requested  
===========================================  
 123      ae12a45232...   2010-08-24 18:05

当用户尝试使用它时，检查哈希是否与用户匹配并且时间是最近的（例如“重置代码在 3 小时内有效”或类似的东西）

使用或过期时从数据库中删除

Answer 3

要走的路确实是生成某种随机的东西并将其存储在数据库中。更改密码后，您将立即从表中删除相关记录，以便无法再次使用该链接。

• 将网址邮寄给用户，包括“令牌”。
• 如果链接被访问，检查token是否存在，允许用户修改密码
• 从数据库中删除令牌。

正如在其他回复中已经说过的，对用户 ID 执行 SHA1 或 MD5，结合微时间和一些盐字符串通常是安全的选择。

Answer 4

1) 要生成唯一的哈希，混合当前时间、用户 ID 和一些盐（文本）。例如，如果您的网站是 mysite.com，则使用以下代码：

 $hash = md5(time() . $userid . 'mysite');

这将创建一个不错的哈希。

2) 是的，将其存储在数据库中。
3) 是的，只要在固定时间后使哈希过期，它就会是安全的。
4) 不，生成一次性密码通常会惹恼用户。