采纳答案成功!
向帮助你的同学说点啥吧!感谢那些助人为乐的人
验证码应发送给用户旧邮箱,做保护性验证
如果新邮箱已经验证通过了 说明新邮件是用户自己的 为什么还需要去向旧邮箱验证呢
个人感觉是 邮箱和手机号是作为找回账号的途径,如果攻击者获取了用户的账号密码,岂不是可以直接修改新邮箱,达到完全占有吗? 不清楚我是不是多考虑了~ 老师多指教呀
你这些考虑点可以算是很严谨了, 确实有这个问题, 但是如果要向原邮箱发送邮件确认的话第一是两个邮件都要验证用户体验很不好, 第二是如果用户忘记之前注册邮箱的密码了 就改不了邮箱了, 一般现在的账号方法都是如果被盗了或者被修改了 用户可以申诉 比如在qq和淘宝中都有这些流程, 但是需要自己去添加申诉的功能, 对开发来说复杂度会大一些, 所以对于安全性不是特别高的网站来说没有必要把流程弄的太复杂
登录后可查看更多问答,登录/注册
【毕设】Python 2.7到3.6 完美适配,Django升级2.0
14.7k 81
769 4
1.6k 22
1.4k 20
