【发布时间】:2013-10-12 08:33:53
【问题描述】:
我正在构建一个涉及用户注册和登录的 Web 应用程序。我正在尝试实现一项功能,使用户能够在那里检索其注册电子邮件地址的密码。因此,将发送一条消息以重新输入他们的密码,或者只是在该电子邮件中提供他们的密码。我正在使用spring,是否有任何教程/文章有人展示了这个实现的例子?所有答案将不胜感激。谢谢
【问题讨论】:
标签: java spring jakarta-ee spring-mvc spring-security
【发布时间】:2013-10-12 08:33:53
【问题描述】:
基本上有两种方法。
向他们发送一个到期链接,该链接可以让他们更改密码,最好是在回答几个额外的安全问题之后,例如母亲的娘家姓、最喜欢的颜色、狗的名字、第一位老师……他们会知道,并且他们在注册时已经告诉过您。通过链接到期和秘密问题的性质,您可以亲眼看到这是相当安全的。
向他们发送自己的密码。这有各种各样的安全问题。首先,您甚至不应该知道他们的密码:只有密码的哈希值;否则,您的系统会受到称为不可否认性损失的主要法律约束,您应该在靠近之前与您的公司律师讨论。其次,任何截获电子邮件的人都可以将密码用于他们自己的邪恶目的,这再次使您无法否认所有交易,这基本上会让您破产。
不要使用 (2) :-|
【讨论】:
由于您在问题中标记了“java”,我认为此信息在这里很有用:我已经为这个用例实现了一个 JAVA 项目。它在 GitHub 上,开源。
对所有事情都有解释(如果缺少某些东西 - 让我知道...)
看看:https://github.com/OhadR/Authentication-Flows
这是使用 auth-flows 的客户端 web 应用程序,带有包含所有解释的 README。它指导您实施:https://github.com/OhadR/oAuth2-sample/tree/master/authentication-flows
【讨论】:
-
这两个项目似乎都导致错误。你能指导我们吗?
-
请告诉我有什么错误,我很乐意提供帮助。 (最好开始一个新的相关线程......)