|
|
|
Идеология аутентификации, что скажете?
Абстрактная задача: Есть зарегистрированные пользователи с паролями. Есть механизм регистрации пользователя, его апрува и отключения админом, механизм смены пароля пользователем после его входа в систему. Вопрос: нужна-ли по вашему возможность высылать пароль пользователя по почте, например?
Это сейчас часто используемая "фича", которая мне не нравится. Это подразумевает, что пароль хранится в открытом виде (хоть и в закрытой базе, но все-же).
Мне больше нравится модель, когда пользователи (и ессно, админ) могут сменить пароль, но посмотреть установленый не могут.
При таком раскладе тоже возможен вариант, когда пользователь забыл пароль, и чтобы не дергать админа по пустякам он может сказать где-нить "сгенерить новый пароль", который будет выыслан ему на мыл, а так-же может в своем профайле запретить эту фичу (ну стобы доброжелатели часто не меняли ему пароль).
Просто я сейчас сделал именно такую модель авторизации в новом форуме, но... многих бесит отсутствие возможности "выслать" пароль почтой... Мне интересно мнение местных обитателей...
|