是否有与通过电子邮件向新用户发送身份验证令牌相关的 NIST 标准?

Posted

技术标签:

【中文标题】是否有与通过电子邮件向新用户发送身份验证令牌相关的 NIST 标准?【英文标题】:Are there NIST standards relevant to emailing a new user an authentication token? 【发布时间】:2021-09-17 10:26:30 【问题描述】:

我找不到与以下场景相关的 NIST 标准:

我们应用的用户可以为其团队注册新用户。此用户提供新用户的电子邮件和个人信息,应用程序将向新用户发送一封电子邮件,其中包含创建密码的 URL,新用户没有该密码无法登录。 URL 包含一个令牌,以确保密码只能为相应的用户创建一次。我们使用 Django 来管理用户,并且正在创建和检查令牌

django.contrib.auth.tokens.PasswordResetTokenGenerator.

如果令牌有效,用户可以创建密码并登录。

对于此类情况,是否有任何 NIST 标准可以说明?我不是搜索标准数据库的专家,所以我没有运气。

【问题讨论】:

【参考方案1】:

我在NIST Special Publication 800-63-3:找到它们

它描述了不同的身份、身份验证和联合保证级别,以及如何根据不同的风险管理需求选择这些级别。

【讨论】:

以上是关于是否有与通过电子邮件向新用户发送身份验证令牌相关的 NIST 标准?的主要内容,如果未能解决你的问题,请参考以下文章

DocuSign 集成。是不是可以在未经用户同意的情况下获得身份验证令牌。我想使用我的凭据在内部发送 docusign 信封电子邮件 [关闭]

是否可以使用 id 令牌进行电子邮件身份验证?

next() 中间件不适用于令牌身份验证

当用户单击链接时,如何通过请求将身份验证令牌从本地存储发送到后端

将电子邮件从身份验证列表发送给Firebase上的所有用户

通过 cookie 标头发送令牌身份验证信息是不是安全?