使用TimedJSONWebSignatureSerializer重置令牌
是一种在云计算领域中常用的技术,它用于生成和验证JSON Web令牌(JWT)。JWT是一种用于在网络应用之间安全传输信息的开放标准(RFC 7519)。通过使用TimedJSONWebSignatureSerializer,可以实现令牌的有效期限和安全性。
TimedJSONWebSignatureSerializer是一个Python库,它提供了生成和验证JWT的功能。它基于时间的方式来设置令牌的有效期限,可以指定一个过期时间,令牌在该时间之后将不再有效。这种方式可以增加令牌的安全性,防止被恶意使用。
使用TimedJSONWebSignatureSerializer重置令牌的步骤如下:
- 导入TimedJSONWebSignatureSerializer库:
from itsdangerous import TimedJSONWebSignatureSerializer- 创建一个TimedJSONWebSignatureSerializer对象,并指定密钥和过期时间:
serializer = TimedJSONWebSignatureSerializer('your_secret_key', expires_in=3600)其中,'your_secret_key'是用于签名和验证令牌的密钥,expires_in参数指定令牌的有效期限,单位为秒。
- 生成令牌:
token = serializer.dumps({'user_id': 123})这里的{'user_id': 123}是要包含在令牌中的信息,可以根据实际需求进行修改。
- 验证令牌:
data = serializer.loads(token)通过调用loads方法,可以验证令牌的有效性,并获取令牌中包含的信息。
使用TimedJSONWebSignatureSerializer重置令牌的优势是:
- 简单易用:TimedJSONWebSignatureSerializer提供了简洁的API,方便生成和验证JWT。
- 安全可靠:通过设置过期时间和使用密钥进行签名,可以增加令牌的安全性,防止被篡改和伪造。
- 可扩展性:可以根据实际需求,自定义令牌中包含的信息,并进行相应的处理。
使用TimedJSONWebSignatureSerializer重置令牌的应用场景包括但不限于:
- 用户认证和授权:可以将用户的身份信息包含在令牌中,用于验证用户的身份和权限。
- 会话管理:可以使用令牌来管理用户的会话状态,避免在服务器端存储会话信息。
- API访问控制:可以使用令牌来控制对API的访问权限,只有持有有效令牌的客户端才能访问受保护的API。
腾讯云提供了一系列与JWT相关的产品和服务,例如腾讯云API网关(API Gateway),它可以与TimedJSONWebSignatureSerializer结合使用,提供安全的API访问控制和认证功能。您可以通过以下链接了解更多关于腾讯云API网关的信息:
请注意,本回答中没有提及亚马逊AWS、Azure、阿里云、华为云、天翼云、GoDaddy、Namecheap、Google等流行的云计算品牌商,如有需要,请自行查阅相关资料。
相关·内容
1回答
让网站用户访问api瓶
、、、、
我有两个网络应用程序。一个是网站。另一个是API。两者都是用烧瓶建造的。它们使用不同的身份验证方法。
该网站使用烧瓶登录库。具体来说,如果表单提供的login_user为真,则使用user.check_password。
api使用加密签名令牌。api由移动应用程序(例如ios)使用。这些应用程序调用/api/login并在网站上发布与您预期相同的用户名和密码。然后,api返回一个令牌,应用程序存储该令牌并在将来使用该令牌进行身份验证。令牌是使用它的危险库生成的。具体来说,它是使用TimedJSONWebSignatureSerializer创建的。
我遇到了一个令人困惑的问题,现在,我们的一
浏览 3提问于2015-02-25得票数 0
回答已采纳
我正在将azure AdB2c集成到我的本地安卓应用程序中,我已经将SignInSignUp和passwordReset userFlow用于我当前的应用程序。目前,当我重置密码时,密码会按预期更改并重定向到应用程序,但当我在一段时间后尝试重新启动应用程序时,MSAL抛出了一个异常,即messagecom.microsoft.identity.client.exception.MsalUiRequiredException: AADB2C90088: The provided grant has not been issued for this endpoint. Actual Value :
浏览 3提问于2021-11-30得票数 0
目前,我正在使用itsdangerous生成时间上的json签名,作为用户对auth和resetpassword的令牌,下面是代码:
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer
class SampleCode:
def generate_confirmation_token(self, expiration=600):
s = Serializer(current_app.config['SECRET_KEY'], expires_in=expirati
浏览 25提问于2022-02-28得票数 5
回答已采纳
密码被散列,这样如果有人能够访问密码数据库,那么他们就不知道实际的密码是什么,所以他们无法登录。
但是,如果我可以获得一个有效的密码重置令牌(当用户忘记密码时会将其发送给用户),那么这不像密码那样好吗?
我可以拿一个令牌,插入重置页面,并将密码设置为任何我想要的,现在我可以访问。
因此,密码重置令牌不也应该在数据库中进行散列吗?
浏览 0提问于2015-04-26得票数 47
回答已采纳
2回答
使用jwt结构重置密码
、、、、
我正在尝试编写我的身份验证应用程序的密码重置部分。我选择使用JWT、node.js和express,其中我使用了以下逻辑:首先,用户输入他们的电子邮件,生成一个令牌,并在密码重置链接中发送到用户的邮件。其次,当用户按下链接时,将设置一个函数来检查令牌是否正确,以及它是否仍然有效。第三,我有一个将新密码保存到数据库的函数。
我不确定的是应该检查令牌的第二步。一些教程说,您应该将令牌保存到数据库中,然后将链接中的令牌与数据库中的令牌进行比较。但是,使用JWT不将任何内容保存到数据库中作为引用,这难道不是重点吗?难道我不应该只使用jwt.verify来获取保存在令牌中的信息,然后检查数据库中的用户以
浏览 1提问于2018-06-19得票数 4
我正在使用Laravel5.1LTS(之前根据说明从4升级),并尝试实现密码提醒。在我的路线上
Route::controllers([
'auth' => '\App\Http\Controllers\Auth\AuthController',
'password' => '\App\Http\Controllers\Auth\PasswordController',
]);
然而,当我去时,我会得到以下信息:
NotFoundHttpException in ResetsPasswords.php
浏览 1提问于2016-04-02得票数 2
回答已采纳
2回答
在应用程序中,具有管理员角色的用户可以通过DRF端点创建新的用户帐户。
需要自动发送密码重置链接到新创建的用户的电子邮件。
我定义了一个网址:
path('v1/account/register/',
AccountCreationView.as_view(),
name='custom_account_creation'),
首先检查用户角色允许新用户创建的视图:
class AccountCreationView(RegisterView):
"""
Accounts Cre
浏览 16提问于2022-08-25得票数 0
回答已采纳
这是一个关于为用户生成一个令牌以重置他/她的密码,而不将所述令牌存储在数据库中的问题。此令牌将是由电子邮件发送的“重置密码”URL的一部分。
解释说,您可以向用户发送一个包含以下信息的令牌
name
expiration date
hash(secret + user name + expiration date)
此方法的问题是,用户可以在令牌过期之前多次更改密码。我认为这是非常糟糕的,因为这意味着如果用户从保留历史的共享计算机访问URL,任何人都可以重置我们用户的密码(即使只是有限的时间)。
因此,我的问题是:是否可能有一个令牌只能使用一次,而不是存储在数据库中?
浏览 1提问于2014-11-29得票数 0
回答已采纳
有一个现有的用户数据库,其列如下:
userId (v4 uuid)
创建时间戳
bcrypt密码散列
电子邮件
我必须添加密码重置功能,并且不能向表中添加任何新列。因此,我的计划是实现以下流程:
用户触发密码重置
服务器在X分钟内给JWT令牌发送电子邮件,并声明如下: passwordResetToken=bcrypt(,和sub=userId 10)。
用户打开链接,键入新密码,并将其与JWT令牌一起发回。
服务器验证JWT令牌签名、过期时间和基于userId的令牌加载用户信息,并根据数据库中的当前用户状态检查passwordResetToken是否与计算的信息匹配。
这个流应该是为了防止
浏览 0提问于2021-02-15得票数 1
回答已采纳
我试图在Lucene5.5.0中使用StopFilter。我尝试了以下几点:
package lucenedemo;
import java.io.StringReader;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.Collections;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import java.util.Iterator;
import org.apache.lucene.*;
i
浏览 3提问于2016-02-25得票数 2
回答已采纳
我用的是拉拉维尔7.x和圣殿。登录是有效的,我想从我的SPA应用程序创建一个忘记密码选项。
由于文档中的大多数示例都依赖于auth脚手架,所以我很难掌握基本知识。到目前为止,我已经得到了以下内容:
我有一个名为ForgotPasswordController的控制器类,它有一个名为reset的方法,它通过POST接收要重置的电子邮件。
我创建了一个对象:$user = User::where('email', $email)->get()->first();
此时,我对体系结构太不熟悉了,不知道下一步该去哪里,不管是密码外观,我在Illuminat\
浏览 3提问于2020-07-05得票数 1
1回答
我正在使用gem权限进行用户身份验证,但现在我在实现“更改密码”链接时遇到了问题。这就是我所拥有的:
<a href="<%= edit_user_password_path(current_user) %>">...</a>
但在Clearance::passwords_controller中,我们有以下内容:
before_filter :forbid_missing_token, only: [:edit, :update]
...
def forbid_missing_token
i
浏览 3提问于2015-05-20得票数 3
回答已采纳
我有一个web应用程序,它将散列密码重置令牌存储在数据库表中。令牌是随机生成的256位值。我目前正在使用Python的passlib sha256_地窖函数对令牌进行散列,默认为使用535000轮。
为了加快哈希计算,我希望减少sha256_crypt函数今后使用的轮数。Passlib允许您在1000到999999999之间选择一个圆圈值(包括在内)。考虑到我正在散列256位随机值,我会安全地把子弹数量减少到1000次吗?这样做会有什么严肃的安全权衡吗?
浏览 0提问于2017-10-09得票数 0
回答已采纳
2回答
我需要在flask上启用现场重置/恢复密码,我想实现的方法,以生成令牌,如果用户重置密码。然后将url发送到用户电子邮件(例如)以确认重置pwd。在用户确认在此url上重置pwd后,我生成新的pwd,更新DB并将此pwd发送给用户。
我该怎么做呢?可能存在一些模块或库?
浏览 3提问于2014-12-30得票数 1
3回答
我正在测试一个具有密码重置功能的网站,该功能提供了与大多数网站一样的令牌链接。我要求提供多个密码重置链接,以查看令牌中的任何模式。所有的标记都有8个字符,所有字母都是大写字母和小字母,没有数字或特殊字符。
你认为这是一种软弱的象征吗?如果是这样的话,考虑到你有一台好的电脑和互联网,野蛮地使用这样的标记需要多长时间?
另外,在每个帐户中,似乎都附加了密码重置令牌。它永远不会改变,无论我要求多少次密码重置链接-它总是带有相同的令牌,为该特定的帐户。你不觉得这是个弱点吗?
浏览 0提问于2019-09-04得票数 2
1回答
我在laravel项目中使用JWT令牌进行身份验证,现在我被困在忘记密码中。我想让一个令牌只在一次点击时有效。用户在他的电子邮件上点击设置密码后,他可以设置他的密码,但不可能再次尝试设置密码。我想让一个用户,并向他发送一封带有链接的电子邮件,以设置令牌上的密码只有一次点击或类似的东西。
浏览 24提问于2019-09-29得票数 1
1回答
我正在使用我的自定义解析服务器与Heroku,我非常肯定(99%),它是体面的安全使用的东西,如oAuth2和单向散列密码。
问题是我正在尝试实现我自己的自定义密码重置。
这就是我目前正在做的事情:
用户请求密码重置
生成自定义令牌( 10分钟后删除定时器)
通过http(s)的帖子请求发送一封电子邮件,以发送令牌id。
我的应用程序检查令牌id是否存在。
如果为真,用户将被重定向到一个可以重置密码的网页。
用户点击提交并使用http(s)帖子发布他们的新密码
然后,我的服务器可以安全地处理和设置新密码。
首先,使用带有令牌id的初始http(s) post请求请求重新设置密码是否有问题?我知
浏览 0提问于2016-04-28得票数 4
回答已采纳
1回答
我使用的是Meteor及其账号系统。我的注册过程涉及重置密码的几个步骤。
Template['enrollment'].events({
'submit #reset-password-form': function (e, template) {
e.preventDefault();
let token = Session.get('_resetPasswordToken');
let user = Meteor.users.findOne({ "services.password.reset.token&
浏览 1提问于2015-07-30得票数 0
我已经阅读了很多关于使用令牌重置密码的页面。
我对它的理解是从链接获取令牌,$_GET' token ';
但是在那之后我就不明白了,我该怎么处理这个令牌呢?我是否只需要检查数据库中是否存在该数据库?因为我在这个链接上读到了reset_password表中的交叉引用,但我不明白这是什么意思。
我是否只需要检查令牌是否存在并选择同一行上的电子邮件?然后我允许用户使用该电子邮件重置密码?
浏览 1提问于2014-06-24得票数 0
对于我们的新项目,我们希望尽可能多地利用asp.net mvc 5。这包括为我们的用户管理使用AspNet.Identity工具集。
我们使用的版本如下:
"Microsoft.AspNet.Identity.Core" version="2.2.1" targetFramework="net46"
"Microsoft.AspNet.Identity.EntityFramework" version="2.2.1" targetFramework="net46"
在我们以前的滚动应用程序
浏览 10提问于2015-08-21得票数 6
回答已采纳
我使用默认的GeneratePasswordResetToken方法在用户的电子邮件中发送密码重置令牌,但它相当大,比如200到300个字符。我想制作更小的令牌,比如5/6位数长,它的寿命在3分钟内到期。我该怎么做呢?
浏览 20提问于2019-05-16得票数 0
回答已采纳
4回答
我正在做一个允许用户重置密码的模块。我注意到大多数网站都提供了一个确认链接,其中包含具有唯一散列的查询字符串。
我的问题是:每当同一个用户请求忘记密码时,我如何生成这个唯一的散列?我是否应该将这个哈希存储在数据库中,并在以后使用它进行验证?安全吗?或者我应该创建某种算法来生成一次性密码?如何生成OTP?
浏览 0提问于2010-08-24得票数 14
我刚开始学习laravel,现在我对邮件设置有了问题。
我想向项目的日志文件发送重置密码电子邮件,为此,我将.env文件设置从MAIL_DRIVER = smtp更改为MAIL_DRIVER = log。
我还更改了mail.php设置并重置了我的服务器,因为我使用了(php )命令。
我仍然收到以下错误
SQLSTATE42S02:基本表或视图未找到: 1146表'mytodo.password_resets‘不存在(SQL: delete从password_resets email = Ali@gmail.com
我不知道为什么要找桌子。
我也看到了下面的问题,它有同样的问
浏览 0提问于2018-05-19得票数 0
回答已采纳
让我们假设这样的情况:我是一个在线商店的用户,我忘记了我的密码。所以我使用这个在线商店的功能来重置我的密码。网上商店给我发了一封电子邮件,上面有我应该访问的链接,以更改我的密码。我更改了密码,但没有删除这封电子邮件。
现在,一天后(在密码重置后),我再次看到了这封电子邮件,并再次点击它,我可以再次更改我的密码。从安全的角度看:您如何评价这种情况?
浏览 0提问于2017-05-24得票数 0
2回答
如何实现密码重置链接
、、、
我目前有一个系统,如果用户忘记了他们的密码,他们可以通过点击忘记密码链接来重置密码。他们将被带到一个页面,在那里他们输入他们的用户名/电子邮件,然后一封电子邮件将被发送给用户,我想知道我如何才能在电子邮件中实现密码重置链接,这样一旦用户点击该链接,他/她就会被带到一个允许他们重置密码的页面。
这是我的控制器中的代码
public ActionResult ForgotPassword()
{
//verify user id
string UserId = Request.Params ["txtUserName"
浏览 2提问于2015-03-12得票数 15
回答已采纳
2回答
我正在建立一个有限数量的用户在所有时间(20最多)的php网站。我花了相当多的时间来保护它,并在这个主题上做了大量的研究。
在考虑安全的密码重置系统时,我遇到了一个问题。我想用最方便的方式,那就是给用户发一封电子邮件,其中包含一个用来重置密码的令牌。该令牌绑定到某个用户,并且只在一定时间内有效。遗憾的是,这似乎并不安全,因为电子邮件流量可能会被拦截。我一直在考虑对令牌进行额外的检查,例如ip和浏览器(http_user_agent),但这也可以绕过。
我可以使用安全问题或将代码链接到必须由管理员提供的令牌,以便使用令牌-url(由于用户数量有限,因此是可管理的),但我宁愿避免这种情况。
我注意
浏览 1提问于2014-06-01得票数 5
1回答
我想知道以下密码重置机制是否安全:
用户点击‘我忘了我的密码’并输入他的邮件。提交之后,生成一个security_token。此标记由以下组合组成: entered_email +时间戳+一个随机字符串,包含15个真正随机的字节。随机字符串对于每次重置都是不同的。
此安全令牌保存在会话变量中。
如果输入的电子邮件地址存在于数据库中,我们将检索该用户的ID,并将其放入单独的会话变量中。而不是把一封信寄给那个邮差。
邮件包含包含安全令牌的URL。就像https://example.com/reset.php?key=THAT_RANDOM_SECURITY_TOKEN_THAT_IS_ALSO_S
浏览 0提问于2020-07-08得票数 0
回答已采纳
5回答
我有这样的想法,不是生成密码重置令牌并将其发送给用户,我只是将用户的散列密码发送给他们。然后在重置后,用户将以纯文本提交旧的散列密码和新密码。服务器将比较提交的散列密码和存储的散列密码,如果它们匹配,则重置。
这可能有一些好处,包括在重置电子邮件上没有过期时间,也不需要存储/过期重置令牌。
这会对安全产生什么样的负面影响?
浏览 0提问于2017-08-27得票数 2
回答已采纳
当我阅读django.contrib.auth代码时,我在django.contrib.auth.hassers.make_password中找到了这段代码。
UNUSABLE_PASSWORD_PREFIX + get_random_string(UNUSABLE_PASSWORD_SUFFIX_LENGTH)
但是,我不明白为什么不能使用的密码不仅仅是UNUSABLE_PASSWORD_PREFIX,也就是‘!。
在django.contrib.auth.hassers.is_password_usable中有这样的代码。
if encoded is None or encoded.sta
浏览 4提问于2015-09-10得票数 3
回答已采纳
2回答
我的一次性重置密码链接是这样的一个令牌。令牌的有效负载包含一个密码(散列)
当用户请求忘记密码时,则生成如下所示的令牌
jwt.sign({ password, email }, secret, {expiresIn: "1d"})
当用户单击链接并填写重置表单时。密码重置请求被发送到服务器,在正文中包含来自url和新密码的token。
jwt.verify(req.body.token, secret)
然后,我只检查数据库中的散列密码是否与jwt有效载荷中显示的密码匹配。如果是这样,我将更改数据库中的密码。如果没有,已经使用了一次链接,所以I错误(返回400错误)。
如何在
浏览 3提问于2022-07-12得票数 1
回答已采纳
我正在构建一个忘记密码的页面。我一直在阅读,许多来源建议用户输入他们的电子邮件地址,然后会在数据库中添加一个令牌,并将带有令牌的链接作为GET变量发送给他们。
我很好奇为什么令牌真的是必要的?如果令牌过期了,任何有恶意并访问您的电子邮件的人,都可以直接返回忘记密码页面,再次输入您的电子邮件,以获得新的密码重置链接。
如果有人访问了你的电子邮件地址,我甚至看不出有一个令牌在某个时候过期的意义。为什么我要在“忘记密码”页面上使用过期令牌?
浏览 1提问于2013-04-26得票数 1
1回答
这个问题已经被问了很多次了,但是没有找到合适的解决方案。 我这样做-- $newToken = auth()->refresh(); 在我的自定义声明中,我有 public function getJWTCustomClaims()
{
return [
'is_verified' => $this->verified,
'email' => $this->email,
'role' => $this->g
浏览 15提问于2019-01-15得票数 3
我正在做关于如何重置忘记的密码的。这一切都能正常工作,除了电子邮件中只有一行空行,URL应该在那里,它会把你带到重置密码的页面。应该添加它的那一行对我来说没有真正的意义。我搞不懂edit_password_reset_url(user.perishable_token)到底指的是什么?有人能给我解释一下吗?感谢您的阅读。
def password_reset_instructions(user)
subject "Password Reset Instructions"
from "Binary Logic Noti
浏览 0提问于2010-10-23得票数 0
回答已采纳
2回答
建议的密码重置令牌的生存期是多少?
太短会降低用户体验,过长会损害安全性。
微软身份默认为一天,但时间很长。
浏览 0提问于2018-11-23得票数 8
回答已采纳
好的,所以我是通过做小项目来学习ASP.Net MVC 5的。我正在实现忘记密码功能。以下是流程:
用户单击忘记密码链接。
重定向到用户输入电子邮件的页面。
接收令牌并重定向到页面以输入所接收的令牌。
获取重定向到“密码”和“确认密码”页面。
现在,所有这些页面都有各自的URL,页面应该按照这个顺序打开。但是,如果我在浏览器链接中键入所需的URL,可能是第三步(输入令牌)或第四步的URL (输入新密码),则可以打开相应的页面。但我不想那样。如果有人没有遵循步骤1至4,那么他们就不能直接打开任何不符合顺序的URL。如何实现上述功能。
注意:如果我们在控制器操作中添加了一个
浏览 2提问于2017-04-23得票数 0
1回答
我是Node‘s的新手。我用express框架和mysql数据库创建了一个应用程序。我确实添加了用户和登录名。它工作得很好,但现在我正在尝试用url.please帮助我重置密码。
浏览 1提问于2015-01-20得票数 0
1回答
这是一个关于网络安全的问题
大家好,我正在用tryhackme.com学习tryhackme.com(身份验证旁路)房间,我在php中遇到了$_REQUEST方法。
在继续之前,只是想说清楚.这里我们要让网站将reset password 发送到我们自己的电子邮件
我们使用的命令curl http://MACHINE_IP/customers/reset?email=robert%40acmeitsupport.thm' -H 'Content-Type: application/x-www-form-urlencoded' -d 'username=rober
浏览 1提问于2022-10-09得票数 -2
4回答
我有用户在网站上,他们的密码是加密(md5)和存储在数据库中。现在,我有了他们的电子邮件,如果有人忘记了他的密码,我想给他发送重置密码的链接。
有人能建议如何做到这一点吗?哪些是最佳实践?
你好,佐兰
浏览 0提问于2012-08-10得票数 1
我正在查看网站的ASP.NET标识,但用户管理面板不会是网站的一部分,而是合并到一个单独的桌面应用程序中。
使用ASP.NET标识的样板代码似乎包括:
var dataProtectionProvider = options.DataProtectionProvider;
if (dataProtectionProvider != null)
{
manager.UserTokenProvider =
new DataProtectorTokenProvider<ApplicationUser>(dataProtec
浏览 3提问于2015-02-02得票数 2
每次我看到这一点,人们都会把它与新的Identity 2.0模板中的双因素身份验证相混淆。但是,有没有一个流程可以为用户生成一个可用的(不是100个字符)重置令牌,并通过sms传递它?在开始构建我自己的方法之前,我希望至少看到一些关于如何生成更小的安全令牌的建议(我假设可以使用PhoneNumberTokenProvider??),并且希望不必进一步更改我的表。
这似乎是你想要做的第一件事,一旦你有一个经过验证的电话号码的用户。
浏览 0提问于2014-07-18得票数 4
我必须为移动应用程序实现一些REST。
我会使用Django REST框架。
用户(移动端)只能使用Facebook注册一个帐户,我会使用python-social-auth来注册/登录。
我是新来的,所以我看到了很多关于它的教程/文档/例子。
我只找到了关于Django + python_social_auth的完整教程,但是我想确切地知道使用REST进行用户注册/登录的最佳实践。
我在哪里能找到完整的例子?
在我的简单测试中,我还遇到了一个问题:当我尝试使用这个示例时:
@psa('social:complete')
def register_by_access_token
浏览 1提问于2015-03-10得票数 10
回答已采纳
3回答
签一个随机数有什么好处吗?
例如,发送到电子邮件的密码重置链接通常包括一个base64编码的随机数,以防止有人猜测密码重置链接是什么。如果该数字是加密签名或散列的,它是否以任何方式提高了安全性?
比如说,256位的随机性和256位的签名,这比仅仅使用512位的随机性更安全吗?
浏览 0提问于2019-09-12得票数 2
回答已采纳
我使用从bin2hex()生成的令牌来重置用户的密码。此令牌存储在db中,当用户使用该令牌时,将针对db中的令牌进行搜索,如果它们相同,则可以重置其密码。
我在这里读到(),我应该在存储前对密码进行散列。这似乎是个好主意,但我想知道如何根据散列密码进行搜索,是否还需要将用户名/电子邮件包含在发送给用户的基于令牌的url中,以便能够再次搜索并检查散列令牌?
在重置链接中包含一个明显的标识符可以吗(我认为这是因为它被发送到他们的电子邮件地址)。
浏览 0提问于2019-01-30得票数 2
回答已采纳
我想知道实现一个15字节长的密码重置令牌有多安全。
如果我们有26个字母和10个数字,每字节36种可能性。我们有一个15字节长的令牌,这意味着可能性的总量是36^15。
有可能在合理的时间内用暴力和找到一个记号吗?这里的可能性真的很大,所以我不明白为什么其他网站会实现+32或+50字节长的标记。
有人能解释一下这一点吗,也许这背后的数学,以探测这是否可能?
让我们假设我们可以在每秒15k的请求下强行执行,并且令牌不会过期**
浏览 0提问于2019-09-22得票数 1
背景:
我有一个Ember.js 1.1.0-beta.1应用程序,它可以与Rails-API服务器(Rails 4)交换JSON数据。JSON数据交换由Ember-Data 1.0.0-beta.2和活动模型序列化器0.8.1 (AMS)完成。我对Ember-Data和AMS都使用了默认的推荐配置,并且符合JSON规范。
在任何给定的RESTful调用中,客户端将当前身份验证令牌传递给服务器。验证并退出身份验证令牌,生成一个新的身份验证令牌并将其发送回客户端。因此,每个RESTful调用都在请求中接受一个身份验证令牌,并在响应中提供一个新的身份验证令牌,客户端可以缓存该令牌并用于下一个RES
浏览 1提问于2013-09-23得票数 7
3回答
因此,我目前正在为一个网站设计一个忘记密码功能。基本上,当用户单击忘记密码时,它会向他们发送一封带有重置令牌的电子邮件。我希望重置令牌在48小时内过期(出于安全原因)。我将如何在MySQL和PHP中做到这一点。我的表中有一个名为resetkey的列,当48小时结束时,我希望系统清除与用户用户名相关的resetkey/令牌。
谢谢!
浏览 3提问于2015-03-23得票数 2
回答已采纳
我试图在我的application.The步骤中构建密码重置功能,如下所示:
'www.domainname.com/api/password-reset?token-idxxxxxxxxx‘在他的电子邮件中输入电子邮件并单击’发送重置链接到电子邮件‘,他将得到一个链接,类似于:当单击该链接时,他将被重定向到密码重置页面,以输入他的新凭据。
我的问题是如何验证param中的令牌是否正确。例如,如果有人复制粘贴URL并更改令牌,有点像:www.domainname.com/api/password-reset?token-id-newyyyyyy,,那么他不应该被重定向到重置页面。我怎么
浏览 2提问于2019-11-18得票数 2
回答已采纳
我正在使用Facebook的PHP SDK来检索各种信息。如果你不知道,facebook为其上托管的每个视频都保留了一个临时链接,该链接在几天后就会失效。因此,我使用一个vid用PHP查询FB以获得它的url。问题是,即使正在查看我的页面的当前用户没有连接到我的应用程序,我也必须执行该操作。即使当前浏览我网站的用户没有连接到我的应用程序,你有什么创造性的解决方案让我用vid (视频ID)查询FB吗?(我可以使用现有的用户令牌,但现在我必须控制哪些令牌是活动的,依此类推...)
谢谢!
浏览 1提问于2013-05-22得票数 0
3回答
密码重置是否安全?
、、、、
我想知道使用substr(md5(rand()), 0, 17);是否对密码重置链接足够安全?如果我要生成一个更长的字符串,这会使它更安全吗?MD5完全安全吗?或者我应该做$token = sha1(uniqid($username, true));
浏览 8提问于2014-06-28得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
