1
我必须创建一个电子邮件验证和密码重置系统,因此我需要一个令牌生成器。起初我认为这些令牌必须是绝对唯一的,但是当我检查数据库中的哈希(令牌)和电子邮件时,我不明白为什么我不应该使用足够长度的随机字符串,而不会追加uniqid()例如这也会很明显)。有一个帐户验证或密码重置令牌真的是唯一的?
我对这个假设是否正确?
A
回答
1
不是,它只需要为该用户唯一。
例如,您可以将密码重置为要求提供用户名或电子邮件地址的一部分。在这方面,您的重置令牌只需要对该用户唯一。
而且,由于你没有查找令牌已知良好的令牌的列表它的速度更快的所有用户。
例如,一个全球唯一的密码重置令牌我要么必须使用一些额外的细节为用户信息等,以区别于其他人令牌或我必须通过某种方式的所有已知标记的搜索。
使用唯一的用户/哈希码我只需验证为此用户提供的代码是否有效。通过比较,你通常会发现一个数组搜索,甚至一个哈希表查找将花费更多的时间。
例如,如果用户没有启动密码重设,其内部用户可能是这样的比较,如果他们有。注意在这个例子中,我们只允许一个最近的密码重置请求(而不是多个):
User.getName() = "Bob"
User.getUserName() = "Bob5412"
User.resetPasswordRequestedTime() = null
User.resetPasswordToken() = null
or
User.resetPasswordRequestedTime() = 1482628217
User.resetPasswordToken() = "f7de43859d244439b101df4e02cc4e17"
现在我只需要检查,如果令牌是有效的请求用户。无需担心“全球独一无二”。
在我的代码我可能需要的任何密码重置请求由4小时内,用户可以完成,因此,如果他们的要求之后排在我不理会,不检查任何他们的请求。
+0
是的,正是我的想法。而令牌过期函数绝对是我会实现的,因为它是减少可用脆弱令牌池的好方法。 –
相关问题
- 1. sequelize.js自定义的验证,检查是否有唯一的用户名/密码
- 2. 特定ftp帐户的密码验证
- 3. 在Rails帐户创建时创建随机,唯一的令牌
- 4. Twilio:验证身份验证令牌和帐户SID
- 5. oAuth,一个客户端一个令牌?或一个客户端多个令牌?
- 6. 解密/验证Firebase令牌
- 7. ASP.Net密码重置时的密码重置为“无效令牌”,密码为
- 8. 如何从Logonuser获取没有密码的用户帐户的用户令牌?
- 9. 如何在python中生成一个唯一的身份验证令牌?
- 10. 重写DRF令牌验证码
- 11. 唯一密钥对的推进验证
- 12. Android:获取经过身份验证的帐户的令牌
- 13. 的Android C2DM身份验证令牌,一次或每一次
- 14. 制定重置身份验证令牌
- 15. 用户重置密码时仅运行密码/ password_confirmation验证
- 16. 解析:重置密码令牌
- 17. 如何过期密码重置令牌
- 18. 邮差中的令牌密钥验证
- 19. Android帐户管理器验证令牌的缓存时间
- 20. Google帐户的其他身份验证令牌
- 21. Django的验证()重置密码
- 22. Salesforce重新验证令牌
- 23. Firebase是否使用每个帐户的唯一密钥加密数据?
- 24. 帐户名称必须是唯一的
- 25. '唯一'的唯一密钥或索引
- 26. 如何检查WebSecurity'密码重置令牌ID'的有效性?
- 27. Django:在没有CSRF令牌的情况下重置密码
- 28. Laravel验证 - 唯一的用户名
- 29. 验证用户名的唯一性
- 30. Shopify metafield ID是唯一的唯一用户或唯一吗?
是的,他们需要是唯一的,只能使用一次。如果同一个用户去并且试图使用相同的密钥并且不被允许,那么这可能是一个问题。 –
另外,如果你使用的是数据库中的AI/PK密钥(你应该),那么使用一个唯一的密钥以及AI/PK,将使它更加独一无二的“给用户”。顺便说一句,我回到了问题,看看是否还有活动;还有一条评论,但被删除了。我唯一看到的更多的是我的评论。我认为这个问题与这个问题很相似(应该)回答这个问题。如果你愿意,你可以ping我,因为我现在已经把问题留给了好人。享受你的圣诞,*欢呼* –