重置密码
重置密码
介绍
大多数Web运用都为用户提供重置和忘记密码的方法。Laravel已经便捷的服务来提供发送密码重置链接和安全重置密码的,而不需要您为每个运用程序重新实现此功能。
[!注意]
想快速上手吗? 在全新的Laravel运用程序中安装Laravel运用程序入门套件。 Laravel的入门套件将负责为您的整个身份验证系统包括重置和忘记密码提供支持。
模型准备
在使用Laravel的密码重置功能之前,运用程序的 App\Models\User 模型必须使用 Illuminate\Notifications\Notifiable trait。通常,在新创建的Laravel运用程序的 App\Models\User 模型中默认引入了该trait。
接下来, 验证 App\Models\User 是否实现了 Illuminate\Contracts\Auth\CanResetPassword 协定。 框架附带的 App\Models\User 模型已实现此接口,并使用 Illuminate\Auth\Passwords\CanResetPassword 特征来包含实现接口所需的方法。
数据库准备
必须创建一个表来存储运用程序的密码重置令牌。通常,这个包含在Laravel默认的 0001_01_01_000000_create_users_table.php 数据库迁移中。
配置可信主机
默认情况下, 无论HTTP请求的Host头的内容是什么,Laravel都会响应它收到的所有请求。此外,在Web请求期间生成运用程序的绝对URL时,将使用 Host 标头的值。
通常,您应该将Web服务器(如Nginx或Apache)配置为仅向运用程序发送与给定主机名匹配的请求。但是,如果您无法直接自定义Web服务器,并且需要提示Laravel仅响应某些主机名,则可以使用运用程序的bootstrap/app.php文件中的 trustHosts 中间件方法来实现。当运用程序提供密码重置功能时,这一点尤为重要。
要了解有关此中间件的更多信息,请参阅 TrustHosts 中间件文档.
路由
为了正确实现允许用户重置密码的支持,我们需要定义几个路由。首先,我们需要一对路由来处理,允许用户通过他们电子邮件地址请求密码重置链接。其次,一旦用户访问通过电子邮件发送给他们的密码重置链接并完成密码重置表单,我们将需要一对路由来处理实际重置密码。
请求重置密码链接
密码重置链接申请表
首先,我们将定义请求密码重置链接所需要的路由。然后,我们将定义一个路由,该路由返回一个带有密码重置链接请求表单的视图:
Route::get('/forgot-password', function () {
return view('auth.forgot-password');
})->middleware('guest')->name('password.request');此路由返回的视图应具有包含 email 字段,该字段将允许用户请求给定电子邮件地址的密码重置链接。
处理表单请求
接下来,我们将定义一个路由,用于处理来自“忘记密码”视图的表单提交请求。此路由将负责验证电子邮件地址并向相应用户发送密码重置请求:
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Password;
Route::post('/forgot-password', function (Request $request) {
$request->validate(['email' => 'required|email']);
$status = Password::sendResetLink(
$request->only('email')
);
return $status === Password::RESET_LINK_SENT
? back()->with(['status' => __($status)])
: back()->withErrors(['email' => __($status)]);
})->middleware('guest')->name('password.email');在继续之前,让我们更详细的检查这条路由。首先,验证请求的 email 属性。 接下来, 我们将使用Laravel内置的“密码代理”(通过密码外观) 向用户发送密码重置链接。密码代理将负责通过给定字段 (在本例中为电子邮件地址) 检索用户,并通过Laravel内置的消息通知系统向用户发送密码重置链接。
该 sendResetLink 方法将返回一个状态标识。可以使用Laravel的 本地化 助手来转化此状态,以便向用户显示有关请求状态的用户友好消息。密码重置状态的转换由运用程序的 lang/{lang}/passwords.php 语言文件来决定。 状态字段的每个可能值的条目位于passwords语言文件中。
[!注意]
默认情况下,Laravel运用程序的矿建不包含lang目录。 如果你想定制Laravel的语言文件,您可以通过 Artisan命令的lang:publish来发布。
您可能想知道Laravel在调用 Password facade的 sendResetLink 方法时如何从运用程序的数据库中检索用户记录。 Laravel密码代理利用身份验证系统的「用户提供者」 来检索数据库记录。密码代理使用用户在config/auth.php配置文件中配置的passwords数组。若要了解有关编写自定义用户提供者程序的详细信息,请参阅 身份信息验证文档.
[!注意]
手动实现密码重置时,需要自行定义视图和路由的内容。如果您想要包含所有必要的身份验证和验证逻辑的基架,请参阅Laravel入门工具包.
重置密码
重置密码表单
接下来,我们将定义在用户单击已通过电子邮件发送给他们的密码重置链接并提供新密码后实际重置密码所需要的路由。首先,让我们定义将显示重置密码表单的路由,该表单在用户单击重置密码链接时显示。此路由将收到一个token参数,我们稍后将使用该参数来验证密码重置请求:
Route::get('/reset-password/{token}', function (string $token) {
return view('auth.reset-password', ['token' => $token]);
})->middleware('guest')->name('password.reset');此路由返回的视图显示一个表单,其中一个包含email 字段,一个password 字段,一个 password_confirmation 字段,和一个隐藏的 token 字段,其中应包含我们路由接受的机密$token的值。
处理表单请求
当然,我们需要定义一个路由来实际处理密码重置表单提交。此路由将负责验证传入的请求并更新数据库中的用户密码:
use App\Models\User;
use Illuminate\Auth\Events\PasswordReset;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
use Illuminate\Support\Facades\Password;
use Illuminate\Support\Str;
Route::post('/reset-password', function (Request $request) {
$request->validate([
'token' => 'required',
'email' => 'required|email',
'password' => 'required|min:8|confirmed',
]);
$status = Password::reset(
$request->only('email', 'password', 'password_confirmation', 'token'),
function (User $user, string $password) {
$user->forceFill([
'password' => Hash::make($password)
])->setRememberToken(Str::random(60));
$user->save();
event(new PasswordReset($user));
}
);
return $status === Password::PASSWORD_RESET
? redirect()->route('login')->with('status', __($status))
: back()->withErrors(['email' => [__($status)]]);
})->middleware('guest')->name('password.update');继续之前,让我们更详细的研究一下这个路由。首先,验证请求的 token,email, 和 password 字段。 接下来, 我们将使用Laravel的内置 「密码代理」 (通过PasswordFacade) 来验证密码重置请求凭据。
如果提供给密码代理的令牌,电子邮件地址和密码有效, reset 则将调用传递给该方法的闭包。在这个闭包中,我们可以更新数据库中的用户密码,该必要接收用户实例和提供给密码重置表单的纯文本密码。
该方法返回一个「状态」标识。可以使用Laravel的 本地化 reset助手翻译此状态,以便向用户显示有关其请求状态的用户友好消息。密码重置状态的翻译由运用程序的语言文件lang/{lang}/passwords.php决定,状态标识每个可能值的条目位于passwords语言文件决定。如果您的运用冲虚没有 lang 文件夹, 您可以使用Artisan的lang:publish命令来创建。
在继续之前, 你可能想知道Laravel在调用 Password facade的 reset 方法时如何从运用程序数据库中检索用户记录。LaravelMiami代理利用您的身份验证系统的「用户提供者」 来检索数据库记录。密码代理使用用户提供程序在配置文件 config/auth.php 中的 passwords 配置数组中的配置。 要了解有关编写自定义用户提供程序的更多信息,请参阅 身份验证文档.
删除过期令牌
已过期的密码重置令牌仍在您的数据库中。但是,您可以使用 Artisan 中的 auth:clear-resets 命令轻松删除这些记录:
php artisan auth:clear-resets如果您想自动化这个过程,请考虑命令增加到您的运用程序的 任务调度中:
use Illuminate\Support\Facades\Schedule;
Schedule::command('auth:clear-resets')->everyFifteenMinutes();定制
重置链接自定义
您可以使用 ResetPassword 通知类提供的 createUrlUsing 方法自定义密码重置链接URL。此方法接受一个闭包,该闭包接收正在接收通知的用户实例以及密码重置链接令牌。通常,您应该从 App\Providers\AppServiceProvider 服务提供的 boot 方法调用此方法:
use App\Models\User;
use Illuminate\Auth\Notifications\ResetPassword;
/**
* Bootstrap any application services.
*/
public function boot(): void
{
ResetPassword::createUrlUsing(function (User $user, string $token) {
return 'https://example.com/reset-password?token='.$token;
});
}重置邮件自定义
你可以轻松修改用于向用户发送密码重置链接的通知类。 首先,覆盖你的 App\Models\User 模型上的 sendPasswordResetNotification 方法。 在此方法中,你可以使用你自己创建的任何 消息通知类 发送通知。 密码重置 $token 是该方法收到的第一个参数。 你可以使用这个 $token 来构建你选择的密码重置 URL 并将你的通知发送给用户:
use App\Notifications\ResetPasswordNotification;
/**
* 发送密码重置通知给用户.
*
* @param string $token
*/
public function sendPasswordResetNotification($token): void
{
$url = 'https://example.com/reset-password?token='.$token;
$this->notify(new ResetPasswordNotification($url));
}原文地址:cndocs/11.x/pa...
译文地址:cndocs/11.x/pa...