K
И воспринимаешь как будто так и должно быть
Size: a a a
2021 August 04
K
Чувствую меня ждёт много боли, когда таки окажусь в РФ и надо будет что-то сделать административное
СА
Я тоже считаю, что незачем.
Единственный кейс, который я вижу - если ушли две ссылки, и по факту можно ими сменить пароль два раза в течение часа, то есть процесс какой-то мультивариантный получается. Но тоже не понимаю, что в этом плохого.
Единственный кейс, который я вижу - если ушли две ссылки, и по факту можно ими сменить пароль два раза в течение часа, то есть процесс какой-то мультивариантный получается. Но тоже не понимаю, что в этом плохого.
СА
Единственное что, в базе пару uid-token можно всего одну держать и использовать upsert по uid вместо insert. Защита от разбухания базы в случае, если крон, удаляющий просроченные токены, сломается.
AM
аргумент против инвалидации, что юзеру потом придется разбираться, какое письмо пришло последним - это дико бесит.
Пример из жизни - смски с кодами подтверждения от банка, которые не приходят в таймаут, а потом приходят сразу несколько и не по очереди
Пример из жизни - смски с кодами подтверждения от банка, которые не приходят в таймаут, а потом приходят сразу несколько и не по очереди
K
Как вариант присылать один и тот же токен, пока юзер не сменит пароль
K
Зачем разные то нужны?
K
Если один и тот же ящик
O
+. Вот вы начали об этом говорить и я вспомнил что надо отправить уведомление о продаже авто в ужонд. Заполнил визард онлайн на gov.pl, подписал через банк, отправил. Удобно же.
A
чтобы этот тред не превращался в тред розовых пони - в UK с госуслугами полный трындец, везде ходил ногами. Либо через бумажную почту, просто тонны бумаги (но тут надо сказать что Royal Mail работает как часы). В US тоже швах, но чуть получше. Друг в Германии тоже жалуется на огромные объемы paper mail.
VJ
У немцев до недавнего времени все было через бумагу. Но пандемия их здорово сдвинула с места. Некоторые чиновники даже научились пользоваться электронной почтой. Пару лет назад это было немыслимо - только бумага. Сейчас после наводнения мэрия собирала заявки на материальную помощь через электронные формы - немыслимый прогресс!
K
хз, в 2018 во Франции за полгода я посетил госорганы всего 1 раз, для валидации долгосрочной визы (там наклейку клеили дополнительную в загран, сейчас не клеят, а просто PDF на почту высылают), и также 1 раз универ (за исключением лекций и экзаменов, разумеется) для получения карты студента
K
но сейчас ещё больше кейсов стало онлайн
K
то есть процесс шёл уже много лет, просто пандемия дала дополнительного пинка для ускорения выходит
A
о, спасибо. лень было гуглить как раз
AS
Есть ещё кейс, если не инвалидировать старые токены, то если есть скрытая утечка писем - всегда можно восстановить доступ использовав один из старых токенов. В принципе это также как единственный токен - "его удалять после успешной смены пароля или пусть целый час живёт". Все это обычно направлено на уменьшение окна атаки и зависит от вашего профиля риска для пользователя.
СА
Токен действителен 1 час.
AS
Хотя бы после успешной смены пароля все токены аккаунта удаляются?
K
Если все токены инвалидируются после успешной смены пароля, то не вижу проблемы
СА
Надо по коду смотреть, может и нет, только тот, с которым сброс был.