Jeg har læst din kode, og jeg tror, at selvom jeg tilføjer en tidsgrænse for at bruge nyt token, er det stadig ikke sikkert. Ifølge owasp cheatsheat om adgangskodegendannelse , du kan gøre det bedre end det. Jeg forkorter det lidt for dig. De nævner fem punkter.
- Brug nogle data, som du har indsamlet i brugerregistreringsprocessen - det kan være fødselsdag, mobiltelefonnummer, efternavn osv.
- Brug sikkerhedsspørgsmål, og indsæt svarinput som ren tekst, lad være med at lave dropdown eller noget lignende. Begræns antallet af gæt her. Vær ikke-triviel og opfindsom i at konstruere disse spørgsmål.
- Efter trin to anbefales det at låse brugerkontoen med det samme. Generer tidsbegrænset adgangskodetoken og send det (prøv i det mindste) gennem en anden kommunikationskanal, måske med sms eller til sekundær e-mail.
- Hold øje med sessionen, og tillad kun at nulstille adgangskoden under den aktuelle session. Håndhæv adgangskodens kompleksitet i dette trin (du kan bruge et eller andet jquery-plugin til det).
- Prøv at logge brugerhandlinger, IP-adresse, browserdata. Fokuser på mislykkede forsøg eller brug af udløbne tokens. På denne måde kan du overvåge ondsindet adfærd og drage nogle konklusioner.
Og her er min lille opgradering. Jeg bruger kolonnen updated_at, som kan være nyttig i mange andre situationer, eller du kan kun angive din egen kolonne for at begrænse tid til nulstilling af adgangskode.
<?php
public function recover(){
$data['main_content'] = 'auth/recover';
$this->load->view('public/layouts/home_main', $data);
}
public function recover_account(){
$this->form_validation->set_rules('username','Username','trim|xss_clean|required');
if ($this->form_validation->run() == FALSE){
//Show View
$data = array(
'errors' => validation_errors()
);
$this->session->set_flashdata($data);
$data['main_content'] = 'auth/recover';
$this->load->view('public/layouts/home_main', $data);
}
else{
$account = $this->input->post('username');
if($this->User_model->user_exist($account)){
$options = [
'cost' => 8,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
$temp_pass = password_hash(rand(23456,975655), PASSWORD_BCRYPT, $options);
$reset_code = rand(23456,975655);
$data = array(
'reset_link_code' => $reset_code
);
$this->session->set_userdata($data);
$this->email->from('[email protected]', 'Your Name');
$this->email->to('[email protected]');
$this->email->subject($reset_code);
$this->email->message(
'Testing the email class.'.' pass: <a href="'.base_url().'auth/reset_password?user='.urlencode($account).'&code='.urlencode($temp_pass).'&rstc='.urlencode($reset_code).'">Click Here</a>'
);
$db_pass = array(
'password' => $temp_pass,
'updated_at' => time() //or even date("Y-m-d H:i:s")
);
$this->db->where('email', $account);
$this->db->or_where('username', $account);
$this->db->update('users', $db_pass);
if($this->email->send()){
echo 'Passowrd resend link sent to email';
}else{
echo 'email count not check, pls talk to support';
}
}else{
echo "User not Fount";
}
}
}
function reset_password(){
$email = urldecode($this->input->get('user', true));
$temp_pass = urldecode($this->input->get('code', true));
$reset_code = urldecode($this->input->get('rstc', true));
if($email && $temp_pass && $reset_code){
$this->form_validation->set_rules('user','Username','trim|xss_clean|min_length[4]');
$this->form_validation->set_rules('newpass','Password','trim|xss_clean|required|min_length[4]|max_length[50]');
$this->form_validation->set_rules('newpass2','Confirm Password','trim|xss_clean|required|matches[newpass]');
if($reset_code == $this->session->userdata('reset_link_code')){
//get user data by email
//$user = $this->User_model->get_heshed_password($email);
$user = $this->User_model->get_heshed_password_and_updated_value($email);
//calculate time difference
$dbdate = strtotime($user->updated_at);
if (time() - $dbdate > 15 * 60) {
// 15 mins has passed
$time_allowed = false;
} else {
$time_allowed = true;
}
if($temp_pass == $user->password && $time_allowed){
if ($this->form_validation->run() == FALSE){
//Show View
$data = array(
'errors' => validation_errors()
);
$this->session->set_flashdata($data);
$data['main_content'] = 'auth/reset_password';
$this->load->view('public/layouts/home_main', $data);
}
else{
$options = [
'cost' => 8,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
$password = $this->input->post('newpass');
$passtodb = password_hash($password, PASSWORD_BCRYPT, $options);
$data = array(
'password' => $passtodb
);
$this->db->where('email', $email);
$this->db->or_where('username', $email);
$this->db->update('users', $data);
redirect('account');
}
}
}else{
echo 'invalid reset code';
}
}else{
redirect('/');
}
}