发现Pocket的重置密码功能一个问题，不知道算不算bug？

然后呢？邮件还是发给那个用户啊

这。。。想说明什么呢

@goofansu @finian 想说这不合理吧？起码已经是对用户的骚扰邮件了

@laomo 要重设密码必定会发邮件。不管你是填用户名还是填邮箱，都不可避免的会发送邮件。

假设你知道别人的邮箱，重设密码照样可以发邮件

只要发送重置信的那个界面有图片识别码， 就问题不大。
而且这样设计， 还是方便用户， 万一遗忘了用户名， 只记得邮件地址的情况。
(我就曾经忘记用户名， 忘记密码， 只记得注册邮箱， 结果不让我重置密码，因为用户名与注册邮箱匹配不上）

@laomo 没有不合理的。

如果不是发到邮箱，那光凭用户名就只能走安全问题、backup code 等方式，这类是属于对安全性要求比较高的服务是正常的。但是 Pocket 并不属于这类服务——失去一个 Pocket 账号只意味着丢了 Archives 和 Favorites。

作为可以通过用户名和邮箱登录的服务，不少人会忘了邮箱或用户名，因为不会有大量重复登录的需求，所以还不如直接允许通过这两个手段去找回密码。

至于骚扰嘛，一旦发现有这个问题，用户就可以去建 filter 或者换一个不用的邮箱，Pocket 也可以建立 N 次请求后就需要验证码或禁止再次请求（或许已经有）。

可能我第一反映就是没见到过这种方法：在不知道注册邮箱的情况下，通过用户名重置密码。所以觉得有点怪。貌似确实不是什么大问题