如何实现密码重置 Link
How do I implement a password Reset Link
我目前有一个系统,如果用户忘记了他们的密码,他们可以通过点击忘记密码来重置密码 link。他们将被带到他们输入 username/email 的页面,然后将向用户发送一封电子邮件,我想知道如何在电子邮件中实现密码重置 link,所以一旦用户点击 link he/she 将转到允许他们重置密码的页面。
这是我控制器中的代码
public ActionResult ForgotPassword()
{
//verify user id
string UserId = Request.Params ["txtUserName"];
string msg = "";
if (UserId == null)
{
msg = "You Have Entered An Invalid UserId - Try Again";
ViewData["ForgotPassword"] = msg;
return View("ForgotPassword");
}
SqlConnection lsql = null;
lsql = DBFactory.GetInstance().getMyConnection();
String sqlstring = "SELECT * from dbo.[USERS] where USERID = '" + UserId.ToString() + "'";
SqlCommand myCommand = new SqlCommand(sqlstring, lsql);
lsql.Open();
Boolean validUser;
using (SqlDataReader myReader = myCommand.ExecuteReader())
{
validUser = false;
while (myReader.Read())
{
validUser = true;
}
myReader.Close();
}
myCommand.Dispose();
if (!validUser)
{
msg = "You Have Entered An Invalid UserId - Try Again";
ViewData["ForgotPassword"] = msg;
lsql.Close();
return View("ForgotPassword");
}
//run store procedure
using (lsql)
{
SqlCommand cmd = new SqlCommand("Stock_Check_Test.dbo.RESET_PASSWORD", lsql);
cmd.CommandType = CommandType.StoredProcedure;
SqlParameter paramUsername = new SqlParameter("@var1", UserId);
cmd.Parameters.Add(paramUsername);
SqlDataReader rdr = cmd.ExecuteReader();
while (rdr.Read())
{
if (Convert.ToInt32(rdr["RC"]) == 99)
{
msg = "Unable to update password at this time";
ViewData["ForgotPassword"] = msg;
lsql.Close();
return View("ForgotPassword");
}
}
}
msg = "new password sent";
ViewData["ForgotPassword"] = msg;
lsql.Close();
return View("ForgotPassword");
}
这是我当前向用户发送电子邮件的存储过程
ALTER PROCEDURE [dbo].[A_SEND_MAIL]
@var1 varchar (200), -- userid
@var2 varchar (200) -- email address
AS
BEGIN
declare @bodytext varchar(200);
set @bodytext = 'Password Reset for user: ' +@var1 + ' @' + cast (getDate() as varchar) + ' ' ;
EXEC msdb.dbo.sp_send_dbmail
@profile_name='Test',
@recipients=@var2,
@subject='Password Reset',
@body=@bodytext
END
GO
创建一个 table 结构类似于
create table ResetTickets(
username varchar(200),
tokenHash varbinary(16),
expirationDate datetime,
tokenUsed bit)
然后在您的代码中,当用户单击重置密码按钮时,您将生成一个随机令牌,然后在该 table 中输入一个条目,其中包含 token 的散列值和到期日期类似于 DATEADD(day, 1, GETDATE()) 并将该令牌值附加到您通过电子邮件发送给用户的密码重置页面的 url 上。
www.example.com/passwordReset?username=Karan&token=ZB71yObR
在密码重置页面上,您获取传入的用户名和令牌,再次对令牌进行哈希处理,然后将其与 ResetTickets table 进行比较,如果到期日期尚未过去,则尚未使用令牌然后将用户带到一个页面,让他们输入新密码。
注意事项:
- 确保令牌过期,不要让两年前的电子邮件重置密码。
- 确保将令牌标记为已使用,不要让计算机的其他用户使用浏览器的历史记录来重置其他用户的密码。
- 确保您安全地生成了随机令牌。不要使用
Rand 并使用它来生成令牌,同时重置的两个用户将获得相同的令牌(我可以同时重置我的密码和您的密码然后使用我的令牌重置您的帐户)。相反,创建一个静态 RNGCryptoServiceProvider 并使用 GetBytes 方法,class 是线程安全的,因此您无需担心两个线程使用同一实例。
- 请务必 parameterize your queries. 在您当前的代码中,如果我输入用户 ID
'; delete dbo.[USERS] --,它将删除您数据库中的所有用户。有关如何修复它的更多信息,请参阅链接的 SO post。
- 确保对令牌进行哈希处理,您的
passwordReset 页面只接受未经哈希处理的版本,并且您永远不会将未经哈希处理的版本存储在任何地方(包括传出消息的电子邮件日志给用户)。这可以防止具有数据库读取权限的攻击者为其他用户制作令牌,读取电子邮件中发送的值,然后自己发送相同的值(并且可能获得可以做更多事情的管理员用户的访问权限不仅仅是读取值)。
这里有 2 个使用 HMAC 或 JWT 的替代方案(我认为它们提供更好、更安全的电子邮件 URLS)
我目前有一个系统,如果用户忘记了他们的密码,他们可以通过点击忘记密码来重置密码 link。他们将被带到他们输入 username/email 的页面,然后将向用户发送一封电子邮件,我想知道如何在电子邮件中实现密码重置 link,所以一旦用户点击 link he/she 将转到允许他们重置密码的页面。
这是我控制器中的代码
public ActionResult ForgotPassword()
{
//verify user id
string UserId = Request.Params ["txtUserName"];
string msg = "";
if (UserId == null)
{
msg = "You Have Entered An Invalid UserId - Try Again";
ViewData["ForgotPassword"] = msg;
return View("ForgotPassword");
}
SqlConnection lsql = null;
lsql = DBFactory.GetInstance().getMyConnection();
String sqlstring = "SELECT * from dbo.[USERS] where USERID = '" + UserId.ToString() + "'";
SqlCommand myCommand = new SqlCommand(sqlstring, lsql);
lsql.Open();
Boolean validUser;
using (SqlDataReader myReader = myCommand.ExecuteReader())
{
validUser = false;
while (myReader.Read())
{
validUser = true;
}
myReader.Close();
}
myCommand.Dispose();
if (!validUser)
{
msg = "You Have Entered An Invalid UserId - Try Again";
ViewData["ForgotPassword"] = msg;
lsql.Close();
return View("ForgotPassword");
}
//run store procedure
using (lsql)
{
SqlCommand cmd = new SqlCommand("Stock_Check_Test.dbo.RESET_PASSWORD", lsql);
cmd.CommandType = CommandType.StoredProcedure;
SqlParameter paramUsername = new SqlParameter("@var1", UserId);
cmd.Parameters.Add(paramUsername);
SqlDataReader rdr = cmd.ExecuteReader();
while (rdr.Read())
{
if (Convert.ToInt32(rdr["RC"]) == 99)
{
msg = "Unable to update password at this time";
ViewData["ForgotPassword"] = msg;
lsql.Close();
return View("ForgotPassword");
}
}
}
msg = "new password sent";
ViewData["ForgotPassword"] = msg;
lsql.Close();
return View("ForgotPassword");
}
这是我当前向用户发送电子邮件的存储过程
ALTER PROCEDURE [dbo].[A_SEND_MAIL]
@var1 varchar (200), -- userid
@var2 varchar (200) -- email address
AS
BEGIN
declare @bodytext varchar(200);
set @bodytext = 'Password Reset for user: ' +@var1 + ' @' + cast (getDate() as varchar) + ' ' ;
EXEC msdb.dbo.sp_send_dbmail
@profile_name='Test',
@recipients=@var2,
@subject='Password Reset',
@body=@bodytext
END
GO
创建一个 table 结构类似于
create table ResetTickets(
username varchar(200),
tokenHash varbinary(16),
expirationDate datetime,
tokenUsed bit)
然后在您的代码中,当用户单击重置密码按钮时,您将生成一个随机令牌,然后在该 table 中输入一个条目,其中包含 token 的散列值和到期日期类似于 DATEADD(day, 1, GETDATE()) 并将该令牌值附加到您通过电子邮件发送给用户的密码重置页面的 url 上。
www.example.com/passwordReset?username=Karan&token=ZB71yObR
在密码重置页面上,您获取传入的用户名和令牌,再次对令牌进行哈希处理,然后将其与 ResetTickets table 进行比较,如果到期日期尚未过去,则尚未使用令牌然后将用户带到一个页面,让他们输入新密码。
注意事项:
- 确保令牌过期,不要让两年前的电子邮件重置密码。
- 确保将令牌标记为已使用,不要让计算机的其他用户使用浏览器的历史记录来重置其他用户的密码。
- 确保您安全地生成了随机令牌。不要使用
Rand并使用它来生成令牌,同时重置的两个用户将获得相同的令牌(我可以同时重置我的密码和您的密码然后使用我的令牌重置您的帐户)。相反,创建一个静态RNGCryptoServiceProvider并使用GetBytes方法,class 是线程安全的,因此您无需担心两个线程使用同一实例。 - 请务必 parameterize your queries. 在您当前的代码中,如果我输入用户 ID
'; delete dbo.[USERS] --,它将删除您数据库中的所有用户。有关如何修复它的更多信息,请参阅链接的 SO post。 - 确保对令牌进行哈希处理,您的
passwordReset页面只接受未经哈希处理的版本,并且您永远不会将未经哈希处理的版本存储在任何地方(包括传出消息的电子邮件日志给用户)。这可以防止具有数据库读取权限的攻击者为其他用户制作令牌,读取电子邮件中发送的值,然后自己发送相同的值(并且可能获得可以做更多事情的管理员用户的访问权限不仅仅是读取值)。
这里有 2 个使用 HMAC 或 JWT 的替代方案(我认为它们提供更好、更安全的电子邮件 URLS)