Блог

Я выполняю сброс пароля для своего приложения для Android и не знаю, где хранить свои токены. Мой текущий поток — это сброс пароля.

1. В приложении пользователь вводит электронную почту и нажимает кнопку «Сброс пароля».
2. Сервер отправляет ссылку, содержащую токен и идентификатор пользователя, на электронную почту
3. Пользователь нажимает на ссылку, и сервер обслуживает сброшенную html-страницу с токеном и идентификатором пользователя, встроенным в URL-адрес публикации формы. Вот где я запутался (я чувствую, что неправильно повторно отправлять токен и идентификатор пользователя, но безопасно ли это?)
4. Пользователь отправляет форму сброса пароля вместе с токеном и идентификатором
5. Сервер аутентифицирует пользователя с помощью токена/идентификатора и сбрасывает пароль

Я знаю о токенах и сеансах JWT, но я думаю, что самый простой способ действий-просто передать аутентификацию пользователя в качестве параметров запроса. Если я использую протокол HTTPS, это нормально?