我公司的一个小组正在为我们的应用程序实现单点登录REST API.此身份验证服务具有密码重置功能.应用程序将用户名发送到重置功能.如果该用户名与电子邮件地址相关联,则会使用临时密码将电子邮件发送到该地址.
另一种方法似乎是通过电子邮件发送安全的临时链接的站点,该链接为用户提供输入新密码的页面.此页面仅存在很短的时间.
我知道电子邮件不是安全协议,因此人们可以嗅探流量并恢复临时密码或临时链接.
是否有任何重要的安全理由偏好一种方法而不是另一种方法?还有另一种更安全的方法吗?
security passwords login forgot-password
forgot-password ×1
login ×1
passwords ×1
security ×1