Внедрение рекомендаций по восстановлению паролей

Я хочу реализовать восстановление пароля в моем веб-приложении.

Я хотел бы избежать с помощью секретных вопросов.

Я мог бы просто отправить пароль по электронной почте, но я думаю, что это будет рискованно.

возможно, я мог бы создать новый временный случайный пароль и отправить его по электронной почте, но я думаю, что это так же рискованно, как и выше.

могу ли я отправить url по электронной почте, например http://example.com/token=xxxx
где xxxx-случайный токен связанный с пользователем. Поэтому, когда пользователь переходит на URL-адрес, он/она может сбросить пароль.