生成密码重置密码

Question

我正在做一个允许用户重置密码的模块。我注意到大多数网站都提供了一个确认链接，其中包含具有唯一哈希值的查询字符串。

我的问题是：每次同一用户请求忘记密码时，如何生成这个唯一的哈希值？我应该将此哈希存储在数据库中并稍后使用它进行验证吗？会安全吗？或者我应该创建某种生成一次性密码的算法？如何生成 OTP？

Answer 1

是的，您应该

1. 生成一个随机重置令牌。参见例如 这个答案。
2. 将其存储在数据库中（可能有到期时间）
3. 使用重置令牌向用户发送电子邮件。
4. 用户使用查询字符串中的重置令牌访问重置密码页面。
5. 检查数据库以查看与重置令牌关联的用户以及是否尚未超过到期时间。
6. 如果一切正常，则允许用户重置密码并从数据库中删除重置令牌。

关于重置令牌（或任何你想称呼它的东西）的生成似乎有很多困惑。请阅读我链接到的答案，不要用哈希值和弱种子重新发明轮子。

Answer 2

只需使用带有用户 ID、用户盐（对用户密码加盐，对吧？）和伪随机数据的哈希函数就可以了：

$pwd_reset_hash = hash ( 'sha256' , $user_id . $user_salt, uniqid( "",true));

将其存储在数据库中（与请求时间一起）作为该用户的重置密钥

 user_id  pwd_reset_hash  time_requested  
===========================================  
 123      ae12a45232...   2010-08-24 18:05

当用户尝试使用它时，检查哈希是否与用户匹配以及时间是否正确最近的（例如“重置代码有效期为 3 小时”或类似的内容）

在使用或过期时将其从数据库中删除

Answer 3

正确的方法确实是生成某种随机的东西并将其存储在数据库中。密码更改后，您将从表中删除相关记录，以便该链接无法再次使用。

• 将 url 邮寄给用户，包括“令牌”。
• 如果访问该链接，请检查令牌是否存在，允许用户更改密码
• 从数据库中删除令牌。

正如在其他响应中已经说过的，对用户 ID 进行 SHA1 或 MD5 结合 microtime 和一些盐字符串通常是一个安全的选择。

Answer 4

1) 要生成唯一的哈希值，请混合当前时间、用户 ID 和一些盐（文本）。例如，如果您的网站是 mysite.com，则使用以下代码：

 $hash = md5(time() . $userid . 'mysite');

这将创建一个很好的哈希值。

2) 是的，将其存储在数据库中。
3）是的，只要您在固定时间段后使哈希过期，它就是安全的。
4) 不，生成一次性密码通常会惹恼用户。