@triggerfinger

Правильная ли схема сброса пароля?

Есть небольшой сервер на NodeJS с авторизацией по мылу + верификация мыла по ссылке (при этом, бэкенд и фронтэнд клиент польностью разделены, на разных доменах). Хочу сделать Сброс Пароля. Набросал следующую схему, посмотрите пожалуйста и дайте ваши замечания:

1. ввод имейла на клиенте, отправка на сервер
2. проверка существует ли имейл
3. если не существует - возврат ошибки на клиент
4. если существует - отправка имейла с токеном в урл и отправка сообщения об успешном отправлении имейла и просьбой проверить имейл на клиент
5. переход по ссылке из имейла, верификация токена
6. если токен с ошибкой - возврат на клиент ошибку
7. если токен без ошибки - редирект на клиент с возможностью ввода нового пароля
8. отправка нового пароля на сервер, сохранение в БД хэша
  • Вопрос задан
  • 99 просмотров
Пригласить эксперта
Ответы на вопрос 1
@h1l4nd0r
Если это все по https то норм, а если нет то нет смысла так заморачиваться, можно сразу слать на посту сгенеренный пароль
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы