przypomnienie hasla - algorytm Opcje

[andycole]

Witam,

Opcja przypomnienia hasla na serwisie.
Do dyspozycji mam jedynie e-maila uzytkownika.
W zasadzie w wiekszosci przypadkow robi sie to chyba tak:

Uzytkownik proszony jest o podanie e-maila, jezeli e-mail znaleziony zostal w bazie, zostaje wygenerowane nowe haslo, ktore zapisujemy do bazy i wysylamy uzytkownikowi na e-maila, deaktywujac jednoczesnie konto. W mailu oprocz nowego hasla przesylamy link aktywujacy.
Glowny minus tego rozwiazania: ktos moze kilka razy dziennie zmieniac nam haslo wiedzac, ze nasz mail figuruje w bazie danych.

Proponowane rozwiazanie:

Uzytkownik podaje e-maila, jezeli istnieje w bazie, proszony jest o haslo do skrzynki pocztowej. Za pomoca curl'a sprawdzam czy mozna sie zalogowac do skrzynki, jezeli tak to wysylamy/wyswietlamy mu nowe haslo.

Czy taki pomysl jest dobry? W kwestii pracy z curlem jestem poki co teoretykiem jedynie (IMG:style_emoticons/default/tongue.gif)

[Crozin]

Gdzie Ty się chcesz komuś logować na skrzynkę pocztową...

1) Użytkownik podaje swój adres email
2) W skrzynce dostaje maila z linkiem w stylu: ..../przypomnij-haslo/123456/3453413fjdsjfsfjsdkj Gdzie 123456 to ID maila, a drugi kod to losowo wygenerowany token (on jest również zapisany w bazie danych strony)
3) Po wejściu na taki link sprwdzasz czy w bazie danych istnieje para: 123456, 3453... - jeśli tak generujesz losowe hasło, ustawiasz to hasło jako hasło użytkownika oraz wyświetlaszu mu je (ew. wysyłasz na maila)