Correo de restablecimiento de contraseña - restablecer contraseña de nuevo [duplicar]

Si puedes hacer eso, significa que los desarrolladores no usaron un token para validar ese enlace solo por un tiempo determinado.

La solución correcta es usar tokens que caducarán una vez que se haya restablecido la contraseña o después de 10-15 minutos.

Esta situación conlleva un riesgo de seguridad, ya que si otra persona puede obtener este enlace, puede cambiar su contraseña y utilizar su cuenta de forma no deseable.

Pero en general, estos enlaces de restablecimiento de contraseña vienen con un token adjunto que tiene una caducidad. Usando este mecanismo, el enlace se vuelve inutilizable después de un cierto período de tiempo. En general, el límite de tiempo para que caduque el token varía de minutos a días, lo que queda a criterio exclusivo de los propietarios del sitio web / portal.

El correo de restablecimiento que has recibido puede haber especificado la hora en que el enlace estará activo.

Espero que esto aclare.

Eso no es bueno porque cualquiera que tenga ese enlace (nota: el token es lo más importante) puede hacer cambios en su contraseña por un tiempo ilimitado.

Solución 1: invalide el token una vez que la contraseña se haya restablecido correctamente.

Solución 2: hacer que el token caduque después de algún tiempo. Los ejemplos del mundo real a menudo varían de 10 minutos a 3 horas.

Recomendaría implementar los dos anteriores.