Ken*_* .J 2 php passwords token
我正在尝试使用PHP编写密码恢复脚本,在浏览了SO之后,最佳实践的共识似乎是
我目前有生成令牌的功能,但是我将如何使其过期?此外,令牌的保质期是多少?
令牌生成代码:
function crypto_rand_secure($min, $max) {
$range = $max - $min;
if ($range < 0) return $min; // not so random...
$log = log($range, 2);
$bytes = (int) ($log / 8) + 1; // length in bytes
$bits = (int) $log + 1; // length in bits
$filter = (int) (1 << $bits) - 1; // set all lower bits to 1
do {
$rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
$rnd = $rnd & $filter; // discard irrelevant bits
} while ($rnd >= $range);
return $min + $rnd;
}
function GenerateToken($length){
$token = "";
$codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
$codeAlphabet.= "0123456789";
for($i=0;$i<$length;$i++){
$token .= $codeAlphabet[crypto_rand_secure(0,strlen($codeAlphabet))];
}
return $token;
}
Ps上面的代码是从SO上的另一个问题复制粘贴的
你可以这样做
使用以下字段创建一个名为password_recovery的表
现在,当有人通过输入登录名或电子邮件请求密码恢复时,获取该用户的iduser.然后生成一个令牌.您可以根据需要设置expire_date.让我们说从现在开始的1天,您可以使用strtotime()来生成它.将这些值插入password_recovery表中.
然后将电子邮件发送给用户的电子邮件ID
yourdomain.com/passrecover.php?h=[token from above]
用户单击链接后,运行代码以检查令牌是否有效以及是否已过期.如果是,则显示密码重置表单.您将拥有该令牌的iduser.否则显示错误消息.
最后,一旦用户重置密码,请从表中删除该行.
您还可以使用cronjob脚本从表中删除过期的标记.