所以,我一直在玩asp:PasswordRecovery
,我发现我真的不喜欢它,有以下几个原因:密码恢复,而不通过电子邮件发送密码
1)Alice的密码,甚至可以无需访问重置爱丽丝电子邮件。密码重置的安全问题缓解了这一点,但并不能真正让我满意。
2)Alice的新密码以明文形式发回给她。我宁愿给她发一个特殊的链接到我的网页上(例如像example.com/recovery.aspx?P=lfaj0831uefjc这样的网页),这会让她改变她的密码。
我想我可以通过创建某种类型的过期密码恢复页面表并将这些页面发送给要求重置的用户来完成此操作。不知何故,这些页面也可能会在后台更改用户密码(例如,通过手动重置它们,然后使用新密码的文本更改密码,因为如果不知道旧密码,就不能更改密码)。我相信其他人以前曾经遇到这个问题,这种解决方案让我觉得有点难以理解。有一个更好的方法吗?
理想的解决方案不是通过直接访问数据库来违反封装,而是使用数据库中现有的存储过程......尽管这可能是不可能的。
嗯,这与我的问题表明我可以做的几乎相同。 – Brian 2010-04-02 19:26:04