我有一个允许用户重置密码的ASP.NET。在ASP.NET应用程序中重置密码的安全性
过程是
- 上通过电子邮件重置链接用户点击。该链接包含一个安全令牌。
- 用户被带到第1页的应用程序,并回答安全问题
- 如果问题是正确的,然后进入第2页并重置密码。
所有数据安全地存储在数据库等我最关心的是第1和2,并确保人们不能直接进入第2页,更改其密码之间的相互作用。
为了防止这一点,我打算。
- ,请务必检查引用页是第1页时,第2页和弹跳如果它不
- 将附带在会议电子邮件中的链接第1页上的安全令牌,只允许如果使用第2页这仍然在会议中。
- 会话超时时间短,所以输入密码的时间有限。也可以在数据库中记录他们完成第1页的时间。
我的问题是。 这是一个狡猾的计划,或任何人都可以看到它的缺陷?
好点,好方便。 – Greg 2011-02-01 17:03:35