Se un utente può richiedere una e-mail di reimpostazione della password e quindi accedere (ad esempio ignorando l'e-mail di ripristino e utilizzando la password esistente) o l'account corrente deve essere bloccato fino a quando la password non viene ripristinata?
Se disabilitassi l'account potrei vedere questo essere abusato da una terza parte (cioè richiedere una reimpostazione della password per un account non proprio) e rendere più difficile l'accesso da parte dell'utente reale.
Pensieri?
Come dici tu, devi consentire all'utente di continuare ad accedere altrimenti potrebbe essere abusato. Se li blocchi in modo efficace, crei una vulnerabilità di tipo Denial of Service consentendo a un utente malintenzionato di negare il servizio a un utente legittimo.
Non riesco a vedere cosa si ottiene bloccando l'utente. se si impedisce a qualcuno che ha ottenuto l'accesso alle credenziali dell'utente di continuare a utilizzare l'account, si otterrebbe tale risultato invalidando qualsiasi sessione utente (a parte la sessione corrente) al ripristino della password (una volta che il collegamento è stato seguito e una nuova password impostata).
Dovrebbero essere autorizzati ad accedere dopo l'invio dell'e-mail.
Dopo aver fatto clic sul link di ripristino nell'e-mail è ciò che attiva il ripristino, senza richiedere l'e-mail. Come dici tu stesso, il blocco dell'account quando si richiede la reimpostazione della posta potrebbe portare ad abusi.
Leggi altre domande sui tag authentication passwords password-management