Le mot de passe temporaire doit être modifié

Question

Lorsqu'un utilisateur a des difficultés à se connecter, il saisit son adresse e-mail pour récupérer son mot de passe. Mon php envoie un mot de passe temporaire (numéro long aléatoire, crypté en db). Cependant, je veux qu'ils soient redirigés vers une page pour changer leur mot de passe s'il s'agit d'un mot temporaire. Comment puis-je savoir s'il s'agit d'un mot de passe temporaire ou non? Quelle est la meilleure façon de le faire + sécurisé?

Merci

Answer 1

Gardez un drapeau pour chaque utilisateur dans la base de données indiquant si leur mot de passe est temporaire ou non.

Answer 2

Une façon évidente de le faire est de le maintenir dans le db, dans ce cas, vous devez vous assurer que vous effacez la base de données une fois que l'utilisateur a modifié le mot de passe avec succès. Une autre façon de le faire est d'envoyer à l'utilisateur un lien secret pour que les utilisateurs réinitialisent le mot de passe au lieu d'envoyer un mot de passe qui expire dans un intervalle de temps fixe (en fonction de la demande et de la sensibilité des données). L'autre approche dans certains cas est un peu plus sécurisé.