L'opzione di reimpostazione della password deve essere fornita solo se il link proviene dalla posta in arrivo dell'utente specifico e non da un'altra parte. Come implementare l'url in modo tale che le informazioni richieste, ad esempio Mailbox, possano essere ottenute dall'URL? Facebook e Twitter come le aziende sembrano averlo già implementato. Eventuali suggerimenti o idee sarebbero apprezzati.
Metti un token crittograficamente casuale e non percettibile sul link di reimpostazione della password che invii alla casella di posta dell'utente e dai loro un limite di tempo, scadendo il collegamento dopo che il limite di tempo è passato. Il token assicura che proviene dalla casella di posta corretta.
Ulteriori letture
Implementazione corretta dei meccanismi di reimpostazione automatica della password per le applicazioni web
Password dimenticata Cheat Sheet di OWASP
Leggi altre domande sui tag security web-applications authentication