请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

关于忘记密码下的重置密码的验证用户名是否存在的问题

写到这,一直不明白为什么还要验证用户名是否存在的问题https://img1.sycdn.imooc.com/szimg//592ea870000175ba12250522.jpg
MyEmpress 2017-05-31 19:26:50
源自:6-5  忘记密码中的重置密码功能开发
933
收起

正在回答

2回答

Geely 2017-05-31 23:53:13

hi同学,这个是这样的哟,如果不验证用户名,那么就会有横向越权的事情发生呢,就是A的密码提示问题和答案你知道,可以修改了B的密码。

2 回复 有任何疑惑可以回复我~
收起回答
  • EverL #1 
    这里不明白,请讲得明白一些。
假使我自己是A,我具有修改密码的能力,然后会返回我自己的token,前台传入的数据是username, passwordNew, token,此处不验证用户名有效性怎么就会能够更改B的密码了呢?不是之后还有token的验证逻辑吗?B的token和A的token验证又不会通过。
    回复 有任何疑惑可以回复我~ 2017-06-18 13:52:37
  • 慕用3151283 回复 EverL #2 
    同问 。
    回复 有任何疑惑可以回复我~ 2017-07-15 10:50:46
取消 回复
空度啊 2018-04-01 15:23:32

可是老师,如果我知道B的用户名,通过重置密码接口不照样可以修改,那这个验证用户名的操作不就相当于没用了?


0 回复 有任何疑惑可以回复我~
收起回答
取消 回复

相似问题

老师,auth 方式什么呀,为什么bcrypt()加,结果也变?
617 0 5
为啥md5加之后password,登录可不会输入加
589 1 4
可以updatePasswordByUsername更新
711 0 2
为登入状态修改,为什么需要token,我感觉可有可无啊
1324 1 5
急:发送邮箱出错
777 0 4

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
从0开始 独立完成企业级Java电商网站服务端开发
  • 参与学习       9430    人
  • 解答问题       8787    个

前后端分离,数据库接口设计,架构设计,功能开发,上线运维

了解课程

本课精华内容

问答

源配置能干嘛?它的作用是啥?目的又是什么?为什么这么配置?

9.2k 10

老师为什么我的阿里云远程就连不进去 改了安全组也不行

1.6k 22

【upload.do】504 (剧终,解决办法看下面我的最新一条评论)

1.3k 21

Could not get JDBC Connection无法登录了

2.0k 21

这是怎么回事前面GIT命令和maven执行不了

1.8k 18

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信