密码可以无限次重置
来源:6-5 忘记密码中的重置密码功能开发
cat大人学编程
2018-05-03
Geely老师,我想问一下:忘记密码并且重置成功后并没有销毁本地缓存中的token,而且我试过确实可以在设定的有效期内无限次重置密码。这样在实际应用中是否存在安全隐患?因为我暂时没有参与过实际的项目,一般实际项目也是这样留着token不销毁的吗?
写回答
4回答
-
你好,同学,非常赞,这个token是需要消除的,这个是我写的项目的一个bug。必须改掉,非常抱歉,这块我记下来,到时候改掉。
非常非常赞的思考!!赞同学,再次表示抱歉~~
40 -
慕侠6123171
2018-05-09
这个问题我也发现了哈哈哈
10 -
qq_谁动了我的奶酪_03546962
2018-05-05
是的,我也发现了这个问题。我觉得这跟使用缓存的方式无关(本地缓存或者分布式缓存),跟代码逻辑有关。我们单位实际项目在使用完之后,token是会及时销毁的,否则存在安全风险。
一个完整的项目,基本功能ok是底线,但是实际工作当中这还远远不能满足要求。因为还要对代码的性能,安全,可维护性等各个维度进行优化考量。
因为时间和课程的原因,老师的重点关注可能不会面面俱到,比如重置密码的时候,老师也没有对passwordNew进行校验,注册的时候,没有对password,email,iphone的格式进行校验,实际项目开发的时候,后台都是会对这些参数进行正则校验。师傅领进门,修行在个人。老师只是个领路人,更多的是需要自己去思考,去反思,这样才会更快的成长
10 -
polo哦
2018-05-03
因为一期时间与内容问题,实际项目肯定不会用本地缓存进行缓存的,例如二期就将这部分替换成分布式redis了
00
相似问题