这难道是 Laravel 入门实践里的 Bug？

还有一个社区的文章收藏问题，取消收藏不是那么容易，还是我自己操作问题，

你都有这种想法了其实可以自己完善的

第一个逻辑是有点问题哈，感谢反馈。

关于第二个问题：

所以，他人通过邮箱找回密码时，如果 他们知道任何一个用户（包括管理员）的邮箱时， 他们都可以通过这个功能来实现 用户密码的修改，并登陆进去，做恶意操作

你虽然知道他们的『邮箱』，但是你没法登录他们的邮箱，就例如我知道你的银行账号，但是我无法从这个账号里转钱出来一样。

@Summer 可能是我的表意不明确，这个bug是因为，在找回密码时，并没有做邮箱验证， 所以，我通过我的邮箱找回密码，然后点击点击，进入reset 页面，此时，我输入你的邮箱 + 任意密码， 既可以重置他人密码。这个漏洞，才是真的BUG

如果是这样，应该要发一封邮件给输入的邮箱，并通过邮件里的内容的链接来跳转到重置密码页面。

@life-is-learning 试过了没有，试试看能不能重置别人的密码？

@Summer 已亲测，没有问题，逻辑是通的，自然走的通，这应该是laravel 底层分装的问题，需自己加判断

@Summer sorry , 昨天晚上又测了下发现我是错的，，看了下 密码找回源码，其实是自动记录的又邮箱对比的。下次会注意，有问题时，多做几次验证

@life-is-learning 是的，有时候还是很有必要动手求证下的哈。Url 里的 Token 里是有用户信息的。

@Summer 确实没激活的用户也可以重置密码，这样其实就相当于之前注册过，但是没有激活，重新注册提示账号存在的BUG了，如果之前注册过没有激活，只需要忘记密码重置密码就可以了。不知道理解是否正确？

谢谢！