通过电子邮件发送的替代方法,以帮助用户使用PHP和MySQL恢复帐户/重置密码

问题描述 投票:0回答:1

我有一个小型网站项目,目前正在改善注册/登录逻辑。现在,我只需要用户名和密码,主要是因为它是一个小项目,并且不需要用户电子邮件地址。缺少电子邮件地址会使密码重置和帐户恢复更加困难。

还有哪些其他方法可以在不使用电子邮件的情况下恢复帐户或重置密码?

我想,如果服务器将生成一个随机字符串(一个或多个)供用户在注册期间或首次登录后进行备份。如果用户忘记了密码,则可以使用该字符串来验证身份并继续恢复帐户。尽管我不确定这听起来有多愚蠢,或者说它是否安全。我目前正在学习所有这些,而且我什至不知道如何将字符串存储在数据库中,可能是纯文本,因为我还没有尝试过,所以还不知道。

还有其他想法吗?

php mysql
1个回答
0
投票

您可以实施旧的“问题”以进行恢复。 3个或更多“个人”问题来确定用户是帐户的所有者,但我认为这并不是很安全。您的恢复代码构想很好(bitlocker或Github经常使用),但是您需要告知用户,如果他/她忘记了密码并丢失了密钥,则该帐户将不会被恢复。无论如何,如果没有电子邮件地址发送确认电子邮件,则获取恢复字符串的任何人都可以重置任何密码而无需进一步确认。

© www.soinside.com 2019 - 2024. All rights reserved.