一般的“使用者密碼重設”演算法是如何的？

比如，當使用者Email收到 密碼重設的連結後，單擊連結可以開啟“ 重設密碼”的頁面，該頁面上一般只有兩個文字框：密碼框和密碼確認框，這個時候使用者提交的時候如何保證安全？主要是如何保證重設的 確實是Email連結裡指定的使用者的密碼（而不是別人的密碼）？

補充：
重設密碼錶單上除了上文提到的一個密碼框和一個密碼確認框外，我想一般還有一個User_id之類的隱藏框吧？貌似現代瀏覽器可以修改隱藏框的實際值，然後提交後就變成更改其他人的密碼了！

回複內容：

比如，當使用者Email收到密碼重設的連結後，單擊連結可以開啟“重設密碼”的頁面，該頁面上一般只有兩個文字框：密碼框和密碼確認框，這個時候使用者提交的時候如何保證安全？主要是如何保證重設的確實是Email連結裡指定的使用者的密碼（而不是別人的密碼）？

補充：
重設密碼錶單上除了上文提到的一個密碼框和一個密碼確認框外，我想一般還有一個User_id之類的隱藏框吧？貌似現代瀏覽器可以修改隱藏框的實際值，然後提交後就變成更改其他人的密碼了！

你仔細看下那個連結，是有一個隨機的token參數的，點開連結如果token不匹配提示錯誤頁面，匹配則是修改密碼頁面，而且token也是跟著密碼一起發給背景，後台還是要再檢驗一遍的。至於token肯定是存在後台資料庫中的，且越長越安全。如果簡單點可以採用uuid演算法作為產生token演算法。

連結是發往使用者郵箱的，也就是只有進入了郵箱才可能得到連結，有這一層安全驗證已經差不多能保證“開啟密碼重設連結的人”即是需要重設密碼的人了。再可以讓連結中的token有效期間短一些或只能校正一次，就可以把安全層級再提高很多了

補充樓上的答案。在token上有效期間上再加上只能用一次。更安全了。如果還要增加安全。可以限制url的來源是使用者對應的郵箱服務商。其實有有效期間和只能用一次就夠了。

