What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Testa lösenordsåterställningsflöden som utvecklare

Varför testning av lösenordsåterställning försummas

De flesta utvecklare testar lösenordsåterställningsflödet en gång med sin egen e-postadress och anser det klart. Efter den femte testkörningen är inkorgen full med identiska "Återställ ditt lösenord"-meddelanden. Man tappar koll på vilken länk som hör till vilken körning och slutligen slutar man testa noggrant för att det är för jobbigt. Precis den typen av nonchalans låter allvarliga buggar ta sig in i produktion.

Vad du faktiskt behöver testa i ett lösenordsåterställningsflöde

En enkel "skickar den ett e-post"-kontroll räcker inte. OWASP Authentication Cheat Sheet beskriver en heltäckande uppsättning krav:

E-postleverans — kommer återställningsmeddelandet fram, och snabbt nog?
Länkkorrekthet — leder länken till rätt sida med rätt token?
Tokenförfallodatum — avvisas en utgången token korrekt efter 25 timmar?
Engångsanvändning — kan samma återställningslänk användas två gånger? Det ska inte vara möjligt.
Tokenogiltigförklaring vid ny begäran — ogiltigförklaras den första token om användaren begär en ny återställning?
SSO-konton — vad händer med OAuth-registrerade användare?
Hastighetsbegränsning — finns det en gräns för återställningsbegäranden per adress?

Tillvägagångssättet med tillfällig e-post — steg för steg

Den renaste lösningen är en färsk tillfällig e-postadress för varje testkörning. Öppna en tillfällig inkorg, kopiera adressen, registrera ett testkonto i din applikation, utlös en återställning och se e-postmeddelandet anlända i realtid. Klicka länken, verifiera hela flödet och bekräfta att inloggning fungerar. För ett nytt scenario öppnar du bara en ny webbläsarflik.

Hårdkoda aldrig en test-e-postadress i din kodbas. Använd en färsk temporär e-post-inkorg varje gång — det säkerställer att du testar riktig leverans och alltid börjar med ett rent tillstånd.

Checklistan för tokensäkerhet

Lösenordsåterställningstokens är en vanlig attackyta. Enligt OWASP ska en säker implementering uppfylla:

Minst 32 tecken, kryptografiskt slumpmässigt genererad
Upphör inom 24 timmar, helst inom 1 timme
Engångsanvändning — ogiltigförklaras omedelbart efter inlösen
Ogiltigförklaras när en ny återställning begärs
Hastighetsbegränsad per e-postadress
Loggas aldrig i klartext

Inkludera lösenordsåterställning i din regressionssuite

Lösenordsåterställning går ofta sönder tyst när autentiseringsbibliotek uppdateras. Lägg åtminstone till ett grundläggande end-to-end-test: skapa ett testkonto programmatiskt, utlös en återställning, fånga upp det utgående e-postmeddelandet och verifiera token. Kontrollera din domäns autentiseringskonfiguration med MXToolbox och läs om verkliga intrång hos Troy Hunt för djupare perspektiv.

Blog

Hur du testar lösenordsåterställningsflöden utan att använda din riktiga inkorg

Varför testning av lösenordsåterställning försummas

Vad du faktiskt behöver testa i ett lösenordsåterställningsflöde

Tillvägagångssättet med tillfällig e-post — steg för steg

Checklistan för tokensäkerhet

Inkludera lösenordsåterställning i din regressionssuite