zoukankan      html  css  js  c++  java
  • 忘记密码功能的安全实现(邮件方式)

    最近在做P2P网贷系统,由于对安全的要求比较高,因此做每一步都比较小心,考虑再三。

    在做忘记密码功能时考虑到邮箱链接的安全性,去网上参考下别人的意见,查询后发现许多网站的这个功能都存在漏洞,如:

    手机方式:http://www.wooyun.org/bugs/wooyun-2010-018055    

    邮件方式:http://www.2cto.com/Article/201305/215934.html

         http://www.wooyun.org/bugs/wooyun-2013-017322

    吓到了吧,所以任何小的功能稍加不注意,可能就是一个大的漏洞

    我的解决方案:(有不同意见的可以马上喷):

    1.存储数据库是必须的,先建数据库表用来存储每次发送的信息,表结构如下

    编号:就是与某个用户进行关联,标注是哪个用户点击了忘记密码(在发送邮件前肯定有叫用户输入信息如用户名,邮箱地址),这样我们就能锁定该用户了

    过期时间:就是设定邮件在多少时间内有效

    随机md5值:是用来唯一标注邮件链接的,可以生成时间戳然后用md5进行加密

    类型:用来区分不同的链接,看你自己的需要

    2.用户点击忘记密码后,我们需要他们输入用户名,邮箱地址来进行用户的认证,如果认证正确则向该用户发送一封重置密码的链接邮件,并将信息存入到该表中:

    如下:

    3.用户点击后重置密码后,程序进行验证,通过vcode和email到记录表中进行查询,如果存在表示该链接有效,

    如果验证正确了就显示重置密码页面,重置成功后将那个记录进行删除(也可以添加一个字段来标注用户点击链接的次数,控制超过几次后就将过期)

  • 相关阅读:
    JMeter 关联
    JMeter MD5加密
    JMeter 时间函数
    JMeter 常用设置
    JMeter 服务器资源监控
    js制作列表滚动(有滚动条)
    js监听事件
    获取窗口大小 并自适应大小变化
    js 标签云
    js 显示数字不断增加
  • 原文地址:https://www.cnblogs.com/shenliang123/p/3266770.html
Copyright © 2011-2022 走看看