Zdravím, chystám se na webu zprovoznit možnost "Zapomněli jste heslo?"
Pokud uživatel napíše do formuláře e-mail, které je spojeny s jeho účtem, odešle se na něj odkaz, kde si bude moct vytvořit heslo nové.Bohužel nevím jaká je praxe, tudiž mám v plánu to realizovat takto:Zvažoval jsem možnost zaslat nově vygenerované heslo, ale z uživatelského hlediska mi to nepřijde moc praktické, jelikož člověk si pak musí (měl by, pokud si nechce pamatovat vygenerované heslo) nastavit svoje heslo a režije s tímto spojená je zhruba stejná jako když si bude moci nastavit heslo nové ihned.
tabulky:
1) uživatel zadá email ke kterému neví hesloKód:+-----------+ +--------------+ | UCET | | FORGOT_PWD | +-----------+ +--------------+ | <PK> ID | | <PK> ID_ucet | | mail | | key | | datum | +--------------+ +-----------+ ID_ucet je FK (ID z tabulky UCET) atribut datum je datum registrace
2) do tabulky FORGOT_PWD se vytvoří záznam s atributy ID_ucet (ID účtu daného mailu), key (MD5(mail . datum . salt ) . id
čili key = 1 - 32 znak MD5 . id
3) na e-mail uzivatele se odesle odkaz ve tvaru www.web.cz/new_pass.php?ref=key (key je z tabulky FORGOT_PWD)
Pokud uživatel klikne na odkaz, na stránce /new_pass.php se oveři, zda li je v tabulce FORGOT_PWD záznam odpovídající atributu ID_ucet a key, pokud ano nabídne uživateli formulář se zadáním nového hesla
Chci se zeptat jestli je tato varianta rozumná a bezpečná, případně jak by jste řešili tento problém vy, diky.
