一段时间后,为什么要使帐户激活/密码重置链接到期?
-
12-10-2019 - |
题
如果他们永远不会到期,会有任何大问题吗?
有人忘记了他的密码并要求重置密码,一封带有密码重置链接的电子邮件发送给他。
然后,他突然记得他的密码,因此他只是忽略了密码重置电子邮件。但是几天后,他再次忘记了。由于他已经在邮箱中有密码重置电子邮件,因此他只需单击该链接即可返回网站以重置密码。
这似乎还可以,那么为什么我们应该在一段时间后进行帐户激活/密码重置链接到期呢?
解决方案
如果他们的电子邮件帐户受到损害怎么办。然后,攻击者看到所有这些“密码重置”链接,然后单击它们进一步损害更多帐户。其中,您的服务可能会使用真实的钱或信用卡信息。
不隶属于 StackOverflow