Как реализовать пароль Reset Ссылка

В настоящее время у меня есть система, в которой, если пользователь забыл свой пароль, он может reset, нажав ссылку на забытый пароль. Они будут отправлены на страницу, где они войдут в свое имя пользователя/адрес электронной почты, а затем электронное письмо будет отправлено пользователю, я хотел бы знать, как я могу реализовать ссылку на пароль reset в письме, чтобы как только пользователь нажмет на он переводится на страницу, которая позволит им reset их пароль.

Это код в моем контроллере

public ActionResult ForgotPassword()
        {
           //verify user id

            string UserId = Request.Params ["txtUserName"];
            string msg = "";
            if (UserId == null) 
            {
                msg = "You Have Entered An Invalid UserId - Try Again";
                ViewData["ForgotPassword"] = msg;
                return View("ForgotPassword");
            }

            SqlConnection lsql = null;
            lsql = DBFactory.GetInstance().getMyConnection();

            String sqlstring = "SELECT * from dbo.[USERS] where USERID = '" + UserId.ToString() + "'";
            SqlCommand myCommand = new SqlCommand(sqlstring, lsql);
            lsql.Open();
            Boolean validUser;         
            using (SqlDataReader myReader = myCommand.ExecuteReader())
            {

                validUser = false;
                while (myReader.Read())
                {
                    validUser = true;

                }
                myReader.Close();
            }
            myCommand.Dispose();  


            if (!validUser) 
                  {
                msg = "You Have Entered An Invalid UserId - Try Again";
                ViewData["ForgotPassword"] = msg;
                lsql.Close();
                return View("ForgotPassword");
            }

            //run store procedure


            using (lsql)
            {
                SqlCommand cmd = new SqlCommand("Stock_Check_Test.dbo.RESET_PASSWORD", lsql);
                cmd.CommandType = CommandType.StoredProcedure;

                SqlParameter paramUsername = new SqlParameter("@var1", UserId);

                cmd.Parameters.Add(paramUsername);


                SqlDataReader rdr = cmd.ExecuteReader();
                while (rdr.Read())
                {
                    if (Convert.ToInt32(rdr["RC"]) == 99)
                    {
                        msg = "Unable to update password at this time";
                        ViewData["ForgotPassword"] = msg;
                        lsql.Close();
                        return View("ForgotPassword");  

                    }
                }
            }


            msg = "new password sent";
            ViewData["ForgotPassword"] = msg;
            lsql.Close();
            return View("ForgotPassword");
        }

Это моя текущая хранимая процедура, которая отправляет пользователю электронное письмо

ALTER PROCEDURE [dbo].[A_SEND_MAIL]
    @var1 varchar (200), -- userid
    @var2 varchar (200) -- email address
AS
BEGIN
declare @bodytext varchar(200);
set @bodytext = 'Password Reset for user: ' [email protected] + ' @' + cast (getDate() as varchar) + ' ' ;
EXEC msdb.dbo.sp_send_dbmail 
@profile_name='Test',
@[email protected],
@subject='Password Reset',
@[email protected]
END 

GO

ОТВЕТЫ

Ответ 1

Создайте таблицу с такой структурой, как

create table ResetTickets(
    username varchar(200),
    tokenHash varbinary(16),
    expirationDate datetime,
    tokenUsed bit)

Затем в вашем коде, когда пользователь нажимает кнопку пароля reset, вы создадите случайный токен, затем поместите запись в эту таблицу с хешированным значением этого token и датой истечения чего-то вроде DATEADD(day, 1, GETDATE()) и добавляет значение токена на URL-адрес, который вы отправляете пользователю по электронной почте для пароля reset.

www.example.com/passwordReset?username=Karan&token=ZB71yObR

На странице пароля reset вы берете имя пользователя и токен, прошедшие через, хеш-токен, затем сравниваете это с таблицей ResetTickets, и если дата истечения еще не прошла, а токен еще не был использован затем возьмите пользователя на страницу, которая позволяет им вводить новый пароль.

Осторожно о:

  • Удостоверьтесь, что срок действия маркера истекает, не позволяйте электронной почте от двух лет назад reset пароль.
  • Обязательно отметьте используемый токен, не позволяйте другим пользователям компьютера использовать историю браузера для паролей пользователей reset.
  • Убедитесь, что вы произвольно создаете случайный токен. Не используйте Rand и используйте его для генерации токена, два пользователя, которые reset в то же время получат один и тот же токен (я мог бы reset мой пароль и ваш пароль одновременно использовать мой токен reset ваша учетная запись). Вместо этого сделайте статический RNGCryptoServiceProvider и используйте метод GetBytes, из которого класс является потокобезопасным, поэтому вам не нужно беспокоиться о два потока, использующих один и тот же экземпляр.
  • Обязательно параметризовать ваши запросы. В вашем текущем коде, если я набрал идентификатор пользователя '; delete dbo.[USERS] --, он удалит всех пользователей в вашей базе данных. См. Связанное сообщение SO для получения дополнительной информации о том, как его исправить.
  • Убедитесь, что вы используете маркер, ваша страница passwordReset принимает только версию unhashed, и вы никогда не храните неизвестную версию где-либо (включая журналы электронной почты исходящих сообщений для пользователей). Это предотвращает доступ злоумышленника к доступу к базе данных от создания маркера для другого пользователя, считывая значение, которое было отправлено в электронном письме, а затем отправляет одно и то же значение (и, возможно, получает доступ к пользователю-администратору, который может делать больше материала чем просто прочитанные значения).