Нужно ли шифровать токен сброса пароля с помощью email?

Question

[Fengol]

Нужно ли шифровать токен сброса пароля, который отправляется вместе с письмом пользователю?
Если да, то зачем?

Answer 1

[Сергей]

Постройте модель нарушителя. Без подробностей о Вашей системе я скажу нет. Если доступ к ящику сотрудника можно получить из открытого интернета, тогда может быть.

Answer 2

[АртемЪ]

Нет конечно.
Если вы его зашифруете - пользователь как его узнает?

Comments

[Fengol]

Не понял. А зачем пользователь должен знать токен? Я новичок в этом деле можете объяснить что будет, если токен зашифрован? Что именно пользователь должен знать о токене?

[АртемЪ]

Fengol,

А зачем пользователь должен знать токен?

Ну если он его не должен знать, зачем тогда его вообще отправлять пользователю? Логично?

[Fengol]

АртемЪ, то есть вы раздаете ответы основываясь на вашей индивидуальной логике, а не наличном опыте? Просто вы дали ответ, который не вяжется с действительность.

[АртемЪ]

Fengol, Ну без логики никуда.
Если вы отправили токен пользователю в зашифрованном виде - без дешифровки это просто бессмысленный массив информации не имеющий практической пользы.
Расшифровать пользователь его не сможет.
Зачем он ему нужен?
Что он с ним будет делать?

Answer 3

[Vladislav Klimanov]

В этом нет необходимости, достаточно делать токен одноразовым, достаточно длинным и с коротким временем жизни.