Im implementando una solución de recuperación de contraseña que sigue esta convención de marco genérico:
Mis preguntas son cuándo debería destruirse el token de reinicio. Según el frameowrk, "El token de reinicio debe ser invalidado tan pronto como se use ".
Significa:
- para destruir tan pronto como el usuario llegue a la página web para ingresar una nueva contraseña
- para destruir cuando llamamos a la API para restablecerla con la nueva contraseña
La primera opción significa que el usuario no puede actualizar / golpear la página dos veces porque destruirá el token en el primer aterrizaje. La segunda opción permite al usuario acceder a la página tantas veces como lo desee, ya que se proporciona la validación del token con una nueva contraseña. Sin embargo, podríamos ir más allá y validar el token de recuperación cuando el cliente acceda a la página web, pero destruirlo solo cuando se proporcione una nueva contraseña.
¿Podría por favor echarme una mano sobre esto?
Nota: el enlace para restablecer la contraseña se proporciona por correo electrónico.