ユーザーアカウントを復元するためのリンクでログインページに移動する必要がありますか?
Pinterestには私のアカウント機能が無効になっています。
ユーザーが自分のアカウントを非アクティブ化すると、アカウントの再アクティブ化リンクが記載された電子メールが届きます。
ユーザー名とパスワードを使用してログインフォームへのボタンリンクを再アクティブ化します。
しかし、ユーザーをログインフォームにリンクすることは問題ありませんか?その時点では、Webアプリケーションはユーザーがパスワードを知っていることを期待してはならないので、パスワードとパスワードの確認のみを含むフォームを表示するほうがよいでしょう。
download bmml source – Balsamiq Mockups で作成されたワイヤーフレーム
[アカウントのロックを解除]をクリックすると、ユーザーはログインします。このフォームへのURLに推測不可能なランダムなトークンが含まれている場合、提案されたアプローチにセキュリティの脆弱性はありません。
「使用できない」トークンは常にブルートフォースすることができます。また、最初に(秘密の再アクティブ化リンクを含む)リンクをユーザーに電子メールで送信しています。電子メールはほとんど安全ではありません。これらが、Pinterestが古いパスワードを使用して再度ログインすることを要求する理由です(そのため、質問に答えるには、アカウントを復元するためにユーザーにログインを強制する必要があります)。