Hola a todos!
Les cuento que estoy intentando hacer 2 secciones para una web, activacion de cuenta y recuperacion de contraseña, y tienen en parte la misma funcionalidad.
Esto seria, enviar un mail a la cuenta del usuario con un link de tipo email + codigo.
El codigo es generado dentro de su respectiva clase (activacion/recuperacion) usando:
Código:
$this->_Code = md5(uniqid(rand(), true));
y el link por ej:
Código:
/activacion.php?email=' . urlencode($this->_usermail) . "&key=".$this->_Code; // se insertara dentro de $message
El mismo, se guarda en la base de datos y al usuario clickear dicho link manda a la respectiva pagina y si el email y el codigo son correctos:
- activacion: activa la cuenta.
- recuperacion: muestra un formulario para cambiar por una nueva contraseña.
He leido que es la manera de realizarlo por muchos (muchos recomiendan no enviar una nueva contraseña al mail por cuestiones de usabilidad).
Pero no entiendo bien si esto es seguro ya que, por ej un usuario no podria usar un script usando dicha url con un correo y hacer combinar cadenas de 32 caracteres hasta que funcione y tener acceso a dicha cuenta? o activarla manualmente?
como veran lo mio es mas bien una cuestion conceptual..
saludos y gracias por cualquier ayuda!
edito: Ambos codigos expiran a las 24 horas de enviados..