使用NestJS构建安全密码重置功能的完整指南:实现短信链接跳转验证功能
引言
实现忘记密码的短信链接验证功能,可以按照以下步骤进行:
-
用户请求重置密码:用户提供注册手机号码,系统生成一个唯一的重置令牌(token),将令牌和用户信息存储在数据库中,并将包含重置令牌的链接通过短信发送给用户。
-
用户点击链接:用户点击短信中的链接,服务器验证令牌的有效性。如果令牌有效,用户可以设置新密码。
-
设置新密码:用户输入新密码,服务器验证并更新用户密码,删除或使令牌失效。
安全性考虑
- 唯一令牌:生成一个唯一且难以预测的令牌。
- 令牌有效期:设置令牌的有效期,通常为1小时或更短。
- 加密传输:使用HTTPS保证令牌和其他敏感信息在传输过程中是加密的。
- 加密存储:令牌和新密码都应进行加密存储。
实现步骤
首先,安装必要的包:
npm install express body-parser twilio bcrypt jsonwebtoken
假设我们使用 Twilio 作为短信服务提供商。
1. 用户请求重置密码
const express = require('express');
const bodyParser = require('body-parser');
const jwt = require('jsonwebtoken');
const bcrypt = require('bcrypt');
const twilio = require('twilio');
const app = express();
app.use(bodyParser.json());
const users = {}; // 模拟用户数据库
const resetTokens = {}; // 存储重置令牌
// Twilio 设置
const accountSid = 'your-twilio-account-sid';
const authToken = 'your-twilio-auth-token';
const twilioPhoneNumber = 'your-twilio-phone-number';
const client = twilio(accountSid, authToken);
// 请求重置密码
app.post('/forgot-password', (req, res) => {
const { phoneNumber } = req.body;
const user = Object.values(users).find(user => user.phoneNumber === phoneNumber);
if (!user) {
return res.status(400).send('User not found');
}
const token = jwt.sign({ id: user.id }, 'your-secret-key', { expiresIn: '1h' });
resetTokens[token] = user.id;
const resetLink = `http://localhost:3000/reset-password?token=${token}`;
client.messages
.create({
body: `Click the link to reset your password: ${resetLink}`,
from: twilioPhoneNumber,
to: phoneNumber
})
.then(message => res.status(200).send('Password reset link sent'))
.catch(error => res.status(500).send('Error sending SMS'));
});
2. 用户点击链接
// 验证重置令牌并显示重置密码页面
app.get('/reset-password', (req, res) => {
const { token } = req.query;
if (!token || !resetTokens[token]) {
return res.status(400).send('Invalid or expired token');
}
res.send(`
<form action="/reset-password" method="POST">
<input type="hidden" name="token" value="${token}" />
<input type="password" name="newPassword" placeholder="Enter new password" required />
<button type="submit">Reset Password</button>
</form>
`);
});
3. 设置新密码
// 更新用户密码
app.post('/reset-password', async (req, res) => {
const { token, newPassword } = req.body;
if (!token || !resetTokens[token]) {
return res.status(400).send('Invalid or expired token');
}
try {
const { id } = jwt.verify(token, 'your-secret-key');
const user = users[id];
if (!user) {
return res.status(400).send('User not found');
}
const hashedPassword = await bcrypt.hash(newPassword, 10);
user.password = hashedPassword;
delete resetTokens[token]; // 删除令牌
res.status(200).send('Password reset successfully');
} catch (error) {
res.status(400).send('Invalid or expired token');
}
});
const PORT = 3000;
app.listen(PORT, () => {
console.log(`Server is running on port ${PORT}`);
});
测试用户数据库
为了测试,可以添加一些初始用户数据:
// 模拟用户数据库
const users = {
1: { id: 1, phoneNumber: '+1234567890', password: 'hashedpassword1' },
2: { id: 2, phoneNumber: '+0987654321', password: 'hashedpassword2' },
};
完整代码
将上述代码整合在一起,保存到一个文件中,例如 server.js,然后通过以下命令启动服务器:
node server.js
总结
通过上述步骤,你可以实现一个安全的重置密码功能,并通过短信发送包含重置令牌的链接给用户。确保在实际应用中使用强加密和合理的安全措施来保护用户信息。
原文地址:https://blog.csdn.net/qq_41791705/article/details/139838398
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!