Ich denke, das ist ein einfacher, ich möchte den Authentifizierungsschlüssel während eines Passwort-Reset anzeigen.zeigen DEVISE Authentifizierungsschlüssel (E-Mail-Adresse) beim Zurücksetzen des Passworts
Erstens, gibt es ein Problem damit? Gibt es eine Art Loch, das ich öffne? Ich kontrolliere, wenn ein Benutzer erstellt und signup_instructions gesendet wird. Ich habe nur ungefähr 500 Benutzer. Mein System ist eines, in dem es in vielen Fällen nur einige Male pro Jahr verwendet wird, und von nur ein oder zwei Angestellten in kleineren Unternehmen durchschnittlich 10 Angestellte. Einige der Unternehmen, die wir betreuen, anstatt mehrere Konten für Mitarbeiter zu erstellen, teilen sich ein oder mehrere Konten, d. H. Ich erstelle sie für eine bestimmte Person im Unternehmen, und dann teilen sie das Kennwort mit ihren Assistenten. Ich verwende E-Mail-Adressen für den Authentifizierungsschlüssel.
Können Sie raten, was als nächstes kommt? Das ist wirklich passiert! Der User geht in den Urlaub, die junge Assistentin muss sich einloggen, das Passwort vergessen haben, aber sie ist clever genug, um auf das vergessene Passwort zu klicken und es zurückzusetzen. Sie liest Chef-E-Mails, während der Chef weg ist. Boss kehrt aus dem Urlaub zurück, muss sich einloggen, kann es nicht, ist aber nicht klug genug, um auf das vergessene Passwort zu klicken und hat sich nicht die Mühe gemacht, ihre E-Mails zu lesen, die während ihrer Abwesenheit gekommen sind. Also ruft sie panisch und sauer an: "Was ist los, ich kann mich nicht einloggen !!!". Viele meiner Benutzer sind so, älter, nicht wirklich Computerkenntnisse.
Also muss ich zusätzliche Schritte zum Idiotensicherheits-Reset Passwörter, die ich denke, sollte PROMINENT Anzeige der E-Mail-Adresse, die sie zurückgesetzt werden, plus Formulierung, um jemanden daran erinnern, "teilen" ein Konto, um ihre zu informieren Mitarbeiter, wenn sie zurückgesetzt werden.
Ich habe versucht, dies in meinem devise/Passwörter bearbeiten/
<%= resource.email %>
Der obige Code liefert nichts!
Um ein Passwort zurückzusetzen, muss der Benutzer normalerweise die E-Mail-Adresse des Kontos eingeben, das zurückgesetzt werden soll. Ist das nicht der Ansatz, den Sie machen? Sie möchten nicht, dass Benutzer ein anderes Benutzerkonto zurücksetzen können. – jzworkman
Ja, mein Reset-Passwort Link erfordert, dass Sie die E-Mail-Adresse eingeben, es ist so ziemlich das Standardgerät/passwords/new.html.erb formatiert, um meine Website-Design – RadBrad
Das sollte alles sein, was Sie dann tun. Keine Notwendigkeit, dem Benutzer (oder einem potentiellen Eindringling) mehr Informationen als das zur Verfügung zu stellen. Das Teilen von Accounts ist in der Regel verpönt, aber wenn sie das tun, endet deine Verantwortung dort. Sie müssen nichts ändern, als ob ein Benutzer beschließt, ein Konto mit seinem Assistenten zu teilen, und der Assistent ändert etwas, das ist nicht Ihr Problem. – jzworkman