Originariamente inviato da }gu|do[z]{®©
...e il link univoco potrebbe essere ottenuto appendendo in querystring l'md5 della concatenazione dell'username (o dell'id) con una parola qualsiasi scelta dallo sviluppatore e invariante nel tmepo..

in questo modo se qualche furbo cambia l'id nel link per resettare la password di un'altro utente.. l'md5 in querystring non corrisponderà più all'md5 calcolato sulm server al momento della verifica

eh? interessante ma non ho capito benissimo..