03-10-2017, 03:55 PM
Citation :Du coup en fait il ne faut pas envoyer le mot de passe par mail ?C'est cela: ne jamais l'envoyer par mail
Citation :Mais si un joueur oublie son mot de passe ?Dans ce cas, il faut un process de récupération de compte (souvent simplifié en "mot de passe oublié", parfois déformé en "récupération du mot de passe", ce dernier étant une très mauvais formulation).
Citation :Faut le renvoyer sur une page qui lui permet de modifier son mot de passe ?C'est tout à fait ça.
Citation :Lui envoyer un mot de passe éphémère qui lui permette de se connecter et de modifier lui-même ?C'est moyen comme solution, car si un tiers vient cliquer sur "récupération du compte" et entre le login de quelqu'un d'autre, alors cette autre personne perdra son mot de passe qui sera écrasé par le nouveau mot de passe temporaire. Il vaut mieux envoyer un lien unique, imprédictible et périssable à l'adresse mail associée au compte, et dans ce lien unique, permettre à l'utilisateur de changer le mot de passe de ce compte (et PAS d'un autre hein! pas de "page=changepassword&accountid=1234", parce que si je change le 1234 en un autre ID, je peux changer le MDP de n'importe quel compte!)
Edit: Ah, j'aurai du lire ta dernière parenthèse avant d'écrire...