我想设置一个php密码恢复脚本,使用24小时后过期的令牌.但我不知道该怎么做.我目前已经SHA1加密了用户密码.我想要做的就是在URL上添加一个令牌,当他们请求重置密码时,该URL会发送给用户.但是我该如何正确地做到这一点以及我需要在数据库中存储什么?
我意识到,为了安全起见,密码不应该以明文形式存储在数据库中.如果我将它们哈希,我可以验证它们以用于登录.
但是,如果我想建立一个密码恢复系统,那么最好的策略是什么,因为没有撤消哈希?
有人能给我一个关于存储和恢复密码的良好安全策略的简要概述吗?