Ayuda de PHP con restablecimiento de contraseña y caducidad del token

Question

Estoy buscando configurar un script de recuperación de contraseña de php, utilizando un token que caduque después de 24 horas, pero no estoy seguro de cómo hacerlo. Tengo contraseñas de usuario cifradas SHA1 en este momento, todo lo que quiero hacer es agregar un token a la URL que se envía al usuario cuando solicita un restablecimiento de contraseña, pero ¿cómo hago esto correctamente y qué hago? necesidad de almacenar en la base de datos?

Answer 1

Debe almacenar un token único y una marca de tiempo de caducidad del token. Cuando los usuarios visitan la URL única, deben validar el token, el nombre de usuario y la marca de tiempo de caducidad del token. Si todo está bien, puede enviar una nueva contraseña o mostrar un formulario donde el usuario puede configurar una nueva contraseña.

Answer 2

1. Cuando el usuario solicita un restablecimiento de contraseña, generar un token y calcular su fecha de caducidad
2. tienda el testigo y su fecha de caducidad en columnas separadas en la tabla de usuarios para ese usuario
3. Enviar un correo electrónico a la de usuario que contiene el enlace de restablecimiento, con el token anexa a su URL
4. Cuando el usuario pulsa el enlace, coge el testigo de su URL (tal vez con $_GET['token'])
5. Compruebe la señal a su tabla de usuarios
6. Comprobar que no es más allá de su fecha de caducidad sin embargo
   • Si se ha vencido, invalidarla, tal vez en la limpieza de los campos, y permitir al usuario volver a enviar
7. Si el token es válido y usable, presente su formulario de restablecimiento de contraseña para el usuario
8. Validar y actualizar la contraseña y borrar los campos simbólicos y expiración

Answer 3

me gustaría ir sobre él mediante la creación de otra base de datos llamada pessword_reset_sessions.

Para que pueda almacenar la siguiente:

ID de usuario generalhash userhash timeinititated intentos

luego con identificador de usuario que isnert el OBV identificación del usuario, con picadillo general es un hash que no se muestra para el usuario pero utilizado para crear el userhash.

iniciada debe ser una marca de tiempo UNIX de la primera vez que solicitó una nueva contraseña.

una vez que confirme que el usuario que solicita la contraseña ha ingresado la información de validación, como correo electrónico, nombre, pregunta secreta. usted crea una fila dentro de la tabla de restablecimiento de contraseña.

y emita un correo electrónico que contenga el userhash.

cuando el hash regresa a través de la $_GET['hash'] a continuación crea un otro hash a partir de la generalhash para comparar con el hash que llegan a través de $ _GET [], si el hash no coincide entonces incrementar el attempts

se también puede verificar antes para asegurarse de que no ha disparado la seguridad durante 2 intentos.

Answer 4

No usaría una base de datos en absoluto. Pero una forma de encriptación en su lugar.
Simplemente envíe la información necesaria en el hipervínculo suministrado por correo, firmado por el hash. Algo como esto

$token = sha1($user_id.$time.$user_pass.$salt).dechex(time()).dechex($user_id); 
$link = "http://".$domain."/restorepass/?token=$token"; 

Al recibir sólo divide y decodificar de nuevo, y después comprobar hash y tiempo de espera.