在我们的网上商店(Java,Hybris)上,用户可以更改密码。根据最佳漏洞实践,我们应该更改SessionId还是保留旧的ID或创建新的Session?最好的解决方案是什么?
用户希望在重置密码时>>
我建议注销密码重置后当前所有的用户会话。另外,最好采用一种机制来确认用户的身份,例如安全代码SMS / email,通过电子邮件重置密码链接等。这可以区分合法用户和攻击者。
是,可能不是良好的用户体验。
阅读更多detailed answer。