В настоящее время я реализую функцию забытого пароля в проекте Java. моя методология,
- Пользователь нажимает ссылку на забытый пароль.
- На странице забытого пароля система предложит пользователю ввести адрес электронной почты, который он зарегистрировал в системе.
- В электронном письме, содержащем ссылку на reset, пароль отправляется на указанный адрес электронной почты на шаге выше.
- Пользователь нажимает на ссылку и перенаправляется на страницу (reset пароль), где пользователь может ввести свой новый пароль.
- В reset странице пароля поле "адрес электронной почты" заполняется автоматически и его нельзя изменить.
- Затем пользователь вводит свой новый пароль и обновляется поле, связанное с адресом электронной почты в базе данных.
Хотя я ограничил поле email address
на странице пароля reset от редактирования (поле только для чтения), любой может изменить URL-адрес в адресной строке браузера и изменить поле адреса электронной почты.
Как запретить каждому пользователю изменять адрес электронной почты на странице пароля reset?