我需要实现一个忘记密码页面,但我的密码是盐渍和散列的.所以我不能按常规检索它们.我的想法是做以下事情:
当用户单击"忘记密码"链接时,他们自然需要输入他们的电子邮件地址(也是他们的用户名).
他们的密码被重置为我制作的哈希和盐渍密码.然后,我向他们发送一封电子邮件,其中包含指向新页面的链接,他们可以在其中键入新密码.
该链接包含新的散列和盐渍密码(作为$ _GET变量),仅用于身份验证.
我只是从链接中获取$ _GET变量,对DB中的条目进行身份验证,并对hash和salt新密码进行身份验证并插入到db中.
这有多安全?对于垃圾邮件发送者和暴力攻击者不容易成为攻击目标的站点.
提前致谢.