Ho notato che i modelli di identità di base ASP.NET predefiniti richiedono l'indirizzo email dopo il link di notifica email di ripristino è stato seguito (ovvero il modulo "scegli una nuova password" nella visualizzazione ResetPassword.cshtml
).
Perché chiedere all'utente di fornire nuovamente il proprio indirizzo email quando si sceglie una nuova password è più sicuro?
Ho capito che il token potrebbe essere annusato dall'email , ma se questo è il caso, allora sicuramente l' indirizzo email potrebbe essere annusato allo stesso tempo ?