我的问题是:如何在每次相同的用户请求忘记密码时生成这个独特的哈希?我应该将这个哈希存储在数据库中吗?会安全吗?还是应该创建一些生成一次性密码的算法?如何生成OTP?
>生成随机重置令牌.参见例如this answer.>将其存储在数据库中(可能有到期时间)>使用重置令牌向用户发送电子邮件.>用户使用查询字符串中的重置令牌访问重置密码页面.>检查数据库以查看与重置令牌相关联的用户以及到期时间是否过去.>如果一切都检出,允许用户重置密码,并从数据库中删除重置令牌.
似乎有一个关于重置令牌的生成(或任何你想称之为它)的混乱.请阅读我已经链接的答案,不要用哈希和弱种子重新发明轮子.
