What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Testowanie przepływów resetowania hasła jako deweloper

Dlaczego testowanie resetowania hasła jest zaniedbywane

Większość deweloperów testuje przepływ resetowania hasła raz na własnym adresie e-mail i uważa sprawę za zakończoną. Po piątym uruchomieniu testu skrzynka odbiorcza jest wypełniona identycznie wyglądającymi wiadomościami "Zresetuj hasło". Tracisz ślad, który link należy do którego uruchomienia, i ostatecznie przestajesz dokładnie testować, bo stało się to zbyt irytujące. Właśnie taki rodzaj niefrasobliwości pozwala poważnym błędom trafić do produkcji.

Co musisz faktycznie testować w przepływie resetowania hasła

Prosta weryfikacja "czy wysyła e-mail?" nie wystarczy. OWASP Authentication Cheat Sheet opisuje kompleksowy zestaw wymagań:

Dostarczanie e-maila — czy e-mail resetujący dociera, i szybko?
Poprawność linku — czy link prowadzi do właściwej strony z właściwym tokenem?
Wygaśnięcie tokena — czy wygasły token jest poprawnie odrzucany po 25 godzinach?
Jednorazowe użycie — czy ten sam link resetujący może być użyty dwukrotnie? Nie powinien.
Unieważnienie przy nowym żądaniu — czy pierwszy token staje się nieważny, jeśli użytkownik ponownie prosi o reset?
Konta SSO — co się dzieje z użytkownikami zarejestrowanymi przez OAuth?
Ograniczanie częstotliwości — czy istnieje limit żądań resetowania na adres?

Podejście z tymczasowym e-mailem — krok po kroku

Najczystszym rozwiązaniem jest świeży adres tymczasowego e-maila dla każdego uruchomienia testu. Otwórz tymczasową skrzynkę, skopiuj adres, zarejestruj konto testowe w aplikacji, uruchom reset i obserwuj e-mail przychodzący w czasie rzeczywistym. Kliknij link, zweryfikuj cały przepływ i potwierdź, że logowanie działa. Dla kolejnego scenariusza po prostu otwórz nową kartę przeglądarki.

Nigdy nie wpisuj na stałe testowego adresu e-mail w kodzie. Używaj świeżej skrzynki tymczasowego maila za każdym razem — gwarantuje to testowanie prawdziwego dostarczania i zawsze zaczynasz od czystego stanu.

Lista kontrolna bezpieczeństwa tokenów

Tokeny resetowania hasła to powszechna powierzchnia ataku. Według OWASP, bezpieczna implementacja powinna spełniać:

Co najmniej 32 znaki, generowane kryptograficznie losowo
Wygasa w ciągu 24 godzin, najlepiej w ciągu 1 godziny
Jednorazowe użycie — unieważniane natychmiast po wykorzystaniu
Unieważniane przy nowym żądaniu resetu
Ograniczone częstotliwością na adres e-mail
Nigdy nie logowane w postaci zwykłego tekstu

Uwzględnij resetowanie hasła w zestawie regresji

Resetowanie hasła po cichu psuje się, gdy aktualizowane są biblioteki uwierzytelniania. Dodaj co najmniej podstawowy test end-to-end: utwórz programatycznie konto testowe, uruchom reset, przechwyć wychodzący e-mail i zweryfikuj token. Sprawdź konfigurację uwierzytelniania domeny za pomocą MXToolbox i zajrzyj do Troy Hunta w celu uzyskania dogłębnej perspektywy na temat rzeczywistych naruszeń bezpieczeństwa.

Blog

Jak testować przepływy resetowania hasła bez używania prawdziwej skrzynki odbiorczej

Dlaczego testowanie resetowania hasła jest zaniedbywane

Co musisz faktycznie testować w przepływie resetowania hasła

Podejście z tymczasowym e-mailem — krok po kroku

Lista kontrolna bezpieczeństwa tokenów

Uwzględnij resetowanie hasła w zestawie regresji