关于在asp.net mvc中实现忘记密码功能的一些问题

发布于 2024-10-28 23:08:16 字数 480 浏览 0 评论 0原文

我想在 asp.net mvc 中实现忘记密码功能，允许用户重置密码，并在这方面有一些问题：

假设在允许用户重置密码之前，我想验证一些额外的内容信息，例如他们的名字和姓氏。默认情况下，此信息不存储在 aspnet_regsql 创建的表中。解决此类问题的建议方法是什么？我应该将此类信息存储在单独的表中，并使用表联接来验证，还是应该修改由 aspnet_regsql 生成的表的架构（如何？）以便我不必使用联接？我需要编写自定义提供程序还是没有必要？
我已经阅读过一些地方，例如这篇帖子，而不是通过电子邮件发送临时密码，另一种方法是通过电子邮件发送一个 URL，单击该 URL 后允许用户更改密码。这是怎么做到的？如何确保 URL 在 1 小时后过期？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

回心转意 2024-11-04 23:08:16

我可以针对你提出的问题详细写出几个答案。有太多的细节无法详细介绍，但我会尽力抓住设计网站时牢记的要点。基本上，您可以（并且应该）与会员提供商合作，而不是绕过它。这需要一些工作，但可以使用提供程序和 ASP.NET MVC 完成以下所有操作。

避免直接访问成员资格表或执行成员资格存储过程。
1. 它们的结构和用法在旧版本或新版本中可能有所不同。
2. 已经建立了提供程序来执行大多数任务。
3. LINQ 其他框架方法并帮助完成剩下的工作。
对于名称等“额外”信息，请使用 ASP.NET 配置文件
用户电子邮件地址应该是唯一的。
用户应该创建自己的帐户。
1. 管理员不应直接创建新帐户。
2. 密码和安全答案应该只有用户知道。
3. 在激活帐户之前，应发送生成的密钥（以网址形式）以验证给定电子邮件地址的所有权。
实施会员提供商已支持的安全问题和答案。
1. 提供可供选择的好问题。
2. 不要强迫或信任用户临时想出一个好问题。
3. 只有知道当前密码才能更改问题/答案。
忘记密码
1. 可以通过正确回答安全问题来重置。
2. 如果忘记了安全答案或帐户被锁定，可以通过管理操作进行重置。
重置密码应该意味着：
1. 生成的临时密码将发送到帐户上的电子邮件地址。临时手段：
  - 设置标志（配置文件值）以指示用户下次登录后必须设置新密码。
  - 密码在设定的时间后就会过期。
2. 管理员可以重置密码，但永远不应该知道密码。
  - 必须使用第二个提供程序定义来完成（请参阅 ASP.Net 用户忘记密码问题的答案）
  - 如有必要，应同时解锁帐户。
密码或安全答案尝试失败次数过多后锁定帐户。
1. 失败的尝试已在提供商内进行计数和配置。
2. 可以选择在足够的时间过后自动解锁帐户。

如果我想到更多，我会扩展这个。

I could write at length several answers to the questions you pose. There are too many to get into implementation detail, but I'll try to hit the points that I've kept in mind when designing sites. Basically, you can (and should) work with the Membership provider instead of working around it. It's a bit of work but possible to do all of the following using the providers and ASP.NET MVC.

Avoid accessing membership tables or executing membership stored procedures directly.
1. Their structure and usage could differ in older or newer versions.
2. The providers are already established to perform most tasks.
3. LINQ other framework methods and help to do the rest.
For 'extra' information like Names, use ASP.NET Profiles
User email addresses should be unique.
Users should create their own accounts.
1. Administrators shouldn't create new accounts directly.
2. Passwords and security answers should only ever be known to the user.
3. A generated key (in the form of a URL) should be sent to verify ownership of the given email address before account activation.
Implement a Security Question and Answer, which the Membership provider already supports.
1. Provide good questions from which to choose.
2. Don't force or trust users to think up a good question ad hoc.
3. Question/answer can only be changed by knowing the current password.
Forgotten passwords
1. Can be reset by correctly answering the security question.
2. Can be reset by administrative action if security answer is also forgotten or account gets locked.
Resetting a password should mean:
1. A generated temporary password is sent to the email address on the account. Temporary means:
  - A flag (a Profile value) is set to indicate that the user must set a new password after next login.
  - The password expires after a set amount of time.
2. An administrator can reset a password, but should never know the password.
  - Must be done using a second provider definition (see ASP.Net User forgot answer to password question)
  - Should simultaneously unlock the account if necessary.
Lock account after too many failed password or security answer attempts.
1. Failed attempts are already counted and configured within the provider.
2. Optionally unlock account automatically after enough time has passed.