Password reset mail - reimposta nuovamente la password [duplicato]

Se puoi farlo, significa che gli sviluppatori non hanno usato un token per rendere valido quel link solo per un certo periodo.

La soluzione giusta è utilizzare i token che scadranno dopo che la password è stata ripristinata o dopo 10-15 minuti.

Questa situazione ha un rischio per la sicurezza in esso, come se qualsiasi altra persona potesse ottenere questo link, può cambiare la tua password e usare il tuo account in modo non desiderabile.

Ma in generale i link di reimpostazione della password sono accompagnati da un token che ha una scadenza. Utilizzando questo meccanismo il collegamento diventa inutilizzabile dopo un certo periodo di tempo. Generalmente il limite di tempo per la scadenza del token varia da minuti a giorni, che è a sola discrezione del proprietario del sito web / portale.

La mail di ripristino che hai ricevuto potrebbe aver specificato l'ora in cui il link sarà attivo.

Spero che questo chiarisca.

Questo non va bene perché chiunque abbia quel link (nota: il token è il più importante) può apportare modifiche alla tua password per un tempo illimitato.

Soluzione 1: invalida il token dopo che la password è stata ripristinata con successo.

Soluzione 2: far scadere il token dopo un po 'di tempo. Gli esempi del mondo reale vanno spesso da 10 minuti a 3 ore.

Consiglierei di implementare entrambi i precedenti.