"Glemt adgangskode"-funktion....

Tags:    php

Ja, hvordan har i lavet det?

Har et logind system, hvor jeg har lavet en "Glemt adgangskode"-funktion... Her indtaster man sin e-mail, og koden checker herefter om mailen findes i databasen, gør den det, sender den brugernavn og adgangskode til mail-adressen... Men nu har jeg været så 'smart' at md5 kryptere alle passwords, så det bliver en PÆNT lang adgangskode, og det ser heller ikke pænt ud... Ville derfor høre hvordan de sider der sender ens almindelige (ukrypterede) password gør? Har checket bl.a. komogvind.dk, netdating.dk, dkbn.dk, og alle disse sider sender mit ukrypterede password til mig... Hvordan? - Gemmer de også det ukrypterede password i en database, eller kan de dekryptere passwords til brugerne?

En anden måde jeg har overvejet at gøre det på er som her på udv.dk... Men synes det er hamrende belastende for folk som ikke checker deres mail hver dag, at andre folk kan ændre deres passwords - og brugeren derfor kan risikere ikke at kunne logge ind med deres normale password... Det er da ikke specielt brugervenligt....??!! ( - Ikke for at genere din side KasperTSW :) - ved godt det problem aldrig vil opstå på udv.dk, da udviklere checker deres mail hver dag, og derfor ville finde ud af at deres password er ændret - men det gør alkoholikerne på mit site altså desværre ikke :P )


Men hvordan vil I anbefale at jeg gør... Der MÅ da være andre som har lavet en "Glemt password"-funktion...



Indlæg senest redigeret d. 09.07.2006 22:31 af Bruger #5601
7 svar postet i denne tråd vises herunder
3 indlæg har modtaget i alt 3 karma
Sorter efter stemmer Sorter efter dato
du kunne jo sende et nyt password til brugeren email og opdater databasen med dets md5. Det er der jo nogen der gør.



Du sender jo en mail med en ny kode, så kan brugeren da ikke undgå at bemærke det.



Hej Daniel,

Lige en kommentar, når du nu nævner den måde det gøres her på sitet :). For det første skal du kunne brugerens username for overhovedet at komme i nærheden af noget kode der kan røre ved den brugers password. Dit Udvikleren.dk username står ikke, som på visse andre sites, nogen steder, og kendes derfor, i princippet, kun af brugeren selv. For det andet så ændres brugerens password ikke før brugeren har bekræftet det, hvilket kun kan ske ved at klikke på et link der bliver sendt via e-mail til den adresse brugeren har registreret sig med :)

Det kan i øvrigt være at du kan bruge noget af det som inspiration til dit eget system, men der er selv sagt mange måder at gøre det på.

Mvh.

Kasper (TSW)



Ja, også det jeg havde overvejet.. Men det giver jo det samme 'problem' at andre brugere kan ændre ens adgangskode, uden at brugeren er klar over det.. derfor jeg ville høre om der var en smart måde at komme ud over det problem på...



Men det ser brugeren jo ikke hvis brugeren ikke checker sin mail... (Andre kan jo også ændre koden på ens bruger).

Er der ikke nogen der kender måden som man kan gøre det på, så brugeren får sin ukrypterede adgangskode? :)





Det er næppe et problem at andre kan bestille en ny kode til en bruger. Bare log alle requests med IP og så evt IP-ban ved problemer.



Hej KasperTSW...

Tak for svaret! Var nemlig derfor jeg havde "leget" lidt med din "glemt kode" funktion ... Netop for at finde ud af hvordan du havde lavet det... Du har jo ret i at andre folk ikke kender ens username.. Havde jeg faktisk ikke engang tænkt på :P Trækker "brokket" over funktionen i mig igen :)

Men sådan som jeg har forstået det, så indsættes det nye password først i databasen når brugeren klikker på linket i mailen? - dvs indtil da, er det det gamle password der står i databasen??

Tror vist jeg har nok ideer til at kunne bruge aftenen fornuftigt (i kodnignens tegn) :P



t