1.7. 26.0.10 的更新

在以前的版本中，如果使用相同的身份验证会话（相同身份验证会话），重置凭证流(忘记密码 功能)在重置凭据后保持登录。对于联邦用户供应商，此行为可能是安全问题。试想一下，一个提供程序实施可以检测 已启用 的用户，执行一次成功的密码更改，但以某种方式验证用户密码失败。在这种情况下，重置凭证流允许用户在不允许使用正常浏览器流登录密码后登录。这种情境是不常见的情况，但默认应该避免它。

在当前发行版本中，验证器 reset-credential-email (Send Reset Email)有一个新的配置选项，名为 force-login (在重置后强制登录)有三个可能值：

有关更改此选项的详情，请参阅启用忘记密码。