使 WSO2 身份服务器中的旧重置密码链接失效
Invalidating old Reset Password Links in WSO2 Identity Server
我正在关注此 guide 以允许用户使用电子邮件重置密码。问题是当用户多次请求 "password reset link" 时,生成的旧 link 不会失效。 (可以使用最新的 link 或旧的 link 重置密码)。
我可以设置任何参数来使旧的 links 无效吗?
有一个名为 identity-mgt.properties 的 属性 文件,您可以在 /repository/conf/identity/目录。
在这个 属性 文件中,有一个名为 Notification.Expire.Time 的 属性,您可以使用它来设置确认码过期时间(以分钟为单位)。
Notification.Expire.Time表示确认码的过期时间。即使在通知恢复场景中,也会生成确认代码。如果通过电子邮件进行通知,则发送给用户进行验证的 link 将包含确认码。因此,一旦用户点击那个link,确认码就会被验证。因此,您可以使用此 属性 来验证 link.
目前,生成的确认码只有在用户修改密码成功后才会失效。因此,正如您所提到的,用户将能够使用他检索到的任何确认码来恢复他的密码。而当用户修改密码成功后,之前生成的所有确认码都会失效。这是目前的默认行为,我们没有配置来更改它。
我正在关注此 guide 以允许用户使用电子邮件重置密码。问题是当用户多次请求 "password reset link" 时,生成的旧 link 不会失效。 (可以使用最新的 link 或旧的 link 重置密码)。
我可以设置任何参数来使旧的 links 无效吗?
有一个名为 identity-mgt.properties 的 属性 文件,您可以在 /repository/conf/identity/目录。 在这个 属性 文件中,有一个名为 Notification.Expire.Time 的 属性,您可以使用它来设置确认码过期时间(以分钟为单位)。
Notification.Expire.Time表示确认码的过期时间。即使在通知恢复场景中,也会生成确认代码。如果通过电子邮件进行通知,则发送给用户进行验证的 link 将包含确认码。因此,一旦用户点击那个link,确认码就会被验证。因此,您可以使用此 属性 来验证 link.
目前,生成的确认码只有在用户修改密码成功后才会失效。因此,正如您所提到的,用户将能够使用他检索到的任何确认码来恢复他的密码。而当用户修改密码成功后,之前生成的所有确认码都会失效。这是目前的默认行为,我们没有配置来更改它。