Comment devrais-je implémenter "Mot de passe oublié" dans ASP.NET MVC?

Je suis en utilisant le standard de SqlMembershipProvider qui vient avec la ASP.NET MVC démo.

Je suis intéressé par la mise en œuvre d'un "mot de passe Oublié" lien sur mon site.

Quelle est la bonne manière pour que cette fonction puisse être mis en œuvre? Dois-je remplacer le mot de passe temporaire de l'un et de l'envoyer à leur adresse e-mail enregistrée?

source d'informationauteur

  1. 10

    En fonction de la nature de la demande, la Meilleure pratique pour le mot de passe oublié devrait être dans l'ordre suivant

    1. Permettre à l'utilisateur de vérifier la Secret/Question pour un maximum de 3 à 5 tentatives
    2. Sur la validation réussie, Envoyer un e-mail avec aléatoire de mot de passe généré avec une durée de validité de 24h.
    3. L'e-mail doit contenir seulement le mot de passe mais pas de nom d'utilisateur/mot de passe.
    4. Lorsque l'utilisateur se connecte avec un mot de passe temporaire, alors l'utilisateur doit être forcé à créer un nouveau mot de passe avant d'aller à la page d'accueil.
  2. 8

    Le fournisseur fera automatiquement la remise à zéro pour vous:

    http://msdn.microsoft.com/en-us/library/system.web.security.sqlmembershipprovider.resetpassword.aspx

    L'échantillon retourne le nouveau mot de passe dans le navigateur au lieu de lui envoyer un courriel à l'utilisateur, mais utilise la question /réponse secrète qui peut être configuré avec le fournisseur.

    Cet échantillon est le mot de passe et e-mails:

    http://msdn.microsoft.com/en-us/library/system.web.security.sqlmembershipprovider.getpassword.aspx

    Je pense que l'une ou l'autre approche est sûr. Le courriel de l'étape est un peu plus sûr puisque l'utilisateur n'aura à connaître de la question/réponse et e-mail mot de passe pour pirater un compte.

    Je me rends compte que ces échantillons ne sont pas en utilisant MVC, mais je suis sûr que c'est assez pour vous d'aller. 🙂

  3. 6

    Sûrement, il est préférable d'envoyer à l'utilisateur un lien avec une sorte de impossible de deviner l'URL (dire contenant un Guid aléatoire. Lorsque l'utilisateur clique sur l'URL qu'ils sont en mesure de réinitialiser le mot de passe. L'URL devrait être bon pour un seul usage, et expirent après un certain temps.

  4. 5

    Ça dépend de quel type de fournisseur d'appartenances vous utilisez.
    Mais je vais recommander à l'aide de simple fournisseur d'appartenances à des fins d'authentification pour plus de détails
    veuillez visiter le lien suivant

    Voici un code pour vous 

    [HttpPost]
[AllowAnonymous]
public ActionResult ForgotPassword(ForgotPasswordModel model)
    {
      .
      .
      .  
      .
                if (WebSecurity.UserExists(model.UserName))
                {
               var token = WebSecurity.GeneratePasswordResetToken(model.UserName, 60);
                  .
                  .
                  .
                  .                        
                    //send this token by email
                }
                else
                {
                    ModelState.AddModelError("", "Could not find User");
                }
            }
      return View(model);


    }

 [HttpPost]
     public ActionResult ResetPassword( ResetPasswordModel model)
    {
        string token = Request.Params["token"];
        if (!string.IsNullOrEmpty(token))
        {
            if (WebSecurity.ResetPassword(token, model.NewPassword))
            {
        //send email…….. or                                          
                return View();
            }
        }