重置密碼時顯示DEVISE身份驗證密鑰（電子郵件地址）

Question

我認為這很簡單，我想在密碼重置期間顯示身份驗證密鑰。

首先，這樣做有什么問題嗎？ 我要開一些洞嗎？ 我控制何時創建用戶並發送signup_instructions。 我只有大約500個用戶。 在我的系統中，很多情況下每年只使用幾次，而在小公司中只有一兩個員工，平均只有10個員工。 我們服務的某些公司而不是為員工創建多個帳戶，而是共享一個或多個帳戶，即我為公司中的特定人員創建一個帳戶，然后他們與助手共享密碼。 我使用電子郵件地址作為身份驗證密鑰。

你能猜出接下來會發生什么嗎？ 這真的發生了！ 用戶正在休假，年輕的助手需要登錄，忘記密碼，但是足夠聰明，可以單擊忘記的密碼並重設密碼，她在老板走后讀老板的電子郵件。 老板從休假回來，需要登錄，雖然不能，但是不夠聰明，無法單擊忘記的密碼，也不想打擾她走了時收到的電子郵件。 因此，她驚慌失措，生氣地問：“怎么了，我無法登錄！！！”。 我的許多用戶都是這樣的，較老，不是真正的計算機專家。

因此，我需要采取其他措施來愚蠢地證明重置密碼，我想應該包括顯示要重置的電子郵件地址的突出顯示，以及提醒任何“共享”帳戶的人以告知其同事的措辭他們重置。

我在我的設計/密碼/編輯中嘗試過

<%= resource.email %>

上面的代碼沒有任何結果！

Answer 1

您永遠不要公開身份驗證數據。 這就是為什么您從不使用GET而是通過POST發送它們的原因。 做一些研究：gmail如何重置密碼？ 要記住的另一件事是，一旦您做了所有合理的事情，用戶就有責任保護自己的個人信息。 如果秘書對老板一無所知，那就太糟糕了-除非他們希望您使用生物識別技術來重置密碼。