请稍等 ...

关于课程中的找回密码功能

在6-12找回密码(2)中，password_reset.html 文件里头 email 写成 hidden的input 并返回给用户，用户填写完新密码后直接修改对应email下的密码

这样是不是不安全？？用户是不是可以修改post中的email数据并发送给服务端，然后造成非法修改其他用户的密码？？

是不是应该在 ModifyView中的post方法中，把用户post回来的email 和服务端发送给用户的 hidden email 比对一下就可以了？？

736

收起

提交取消

1回答

bobby 2017-01-07 23:28:18

能发现这个问题说明你还是经过认真思考的，实际上为了简化原理我就这样做了，你这种做法可以考虑，但是比较安全的做法是将email+resetcode一起加密成一串加密文本，然后服务器解密后获取到email然后再对restcode校验一下就可以了

0 回复有任何疑惑可以回复我~

提问者 Chiuuuuu #1
```
谢谢老师！
```
回复有任何疑惑可以回复我~ 2017-01-07 23:32:46
年光逝也被僵尸号占了 #2
```
那加密算法要写在哪呢？写在前端吗？
```
回复有任何疑惑可以回复我~ 2017-06-26 17:46:56
bobby 回复年光逝也被僵尸号占了 #3
```
加密是后端加密 然后放到url中 然后后端接收到以后再解密
```
回复有任何疑惑可以回复我~ 2017-06-28 10:05:38