Ho una domanda riguardante un flusso di password dimenticato. Fondamentalmente sto inviando il token di reimpostazione della password fuori banda all'utente, quindi l'utente lo invia di nuovo con la prima richiesta via querystring, lo convalido e lo controllo è scaduto e quindi lo elimino, e generi e memorizzi ( hashed) uno nuovo che restituisco all'utente con la nuova password / conferma l'interfaccia utente della password, dove inserirà la nuova password. (Ovviamente, cancellerò anche il secondo token dopo che la password è stata cambiata)
E sono curioso che sia troppo eccessivo per generare un nuovo token da inviare con l'interfaccia utente. O dovrei semplicemente rispedire indietro quello vecchio, e poi ricontrollare quando viene rispedito con la nuova password.
Grazie e buona idea.