4
示例方案:使PasswordRecovery控件可以锁定用户吗?在使用SQL Server成员资格提供ASP.NET应用程序
1)用户无法记住其确切的密码,并试图在短时间内多次使用无效密码登录(比如10分钟窗口中5次)。这将用户锁定(即,将aspnet_Membership表的IsLockedOut标志设置为1)。
2)用户转到“忘记我的密码”屏幕尝试获取通过电子邮件发送给他们的新密码。该屏幕使用PasswordRecovery控件。用户输入他们正确的用户标识,但是因为IsLockedOut标志是1,所以不能进一步进行密码恢复过程。(他们甚至没有看到他们的安全问题)。
3)然后,用户将不得不电话技术支持,以让自己解锁等
要通过使PasswordRecovery控件减少对支持人员的负担,我们正在努力减少时间第3步是必需的, (如果可能的话),与锁定的用户一起工作。即当他们输入他们的登录ID时,出现安全问题,如果他们输入正确答案,系统将解锁用户,并将新的临时密码通过电子邮件发送给他们。我想知道是否可以调整PasswordRecovery控件来做到这一点。或者,也许这种方法有安全问题?