Мне было интересно, какой будет более безопасный вариант, когда пользователи забыли свой пароль.
- Отправьте случайно сгенерированный новый пароль на адрес электронной почты (все адреса электронной почты в моей базе данных подтвердили, что они работают).
или
- Отправьте электронное письмо со ссылкой, срок действия которой истекает в течение определенного периода времени, когда пользователь может reset их пароль.
Помимо того, что последний использует дополнительную таблицу, что, по вашему мнению, является более безопасной/лучшей практикой?