使用 passport.js 实现密码重置
Implementing password reset with passport.js
我正在阅读关于 passport.js 的一篇文章,我偶然发现了这段代码,但我不知道它的作用这篇文章没有很好地解释它。你能解释一下它的作用吗?
app.post('/forgot', function(req, res, next) {
async.waterfall([
function(done) {
crypto.randomBytes(20, function(err, buf) {
var token = buf.toString('hex');
done(err, token);
});
},
function(token, done) {
User.findOne({ email: req.body.email }, function(err, user) {
if (!user) {
req.flash('error', 'No account with that email address exists.');
return res.redirect('/forgot');
}
user.resetPasswordToken = token;
user.resetPasswordExpires = Date.now() + 3600000; // 1 hour
user.save(function(err) {
done(err, token, user);
});
});
},
function(token, user, done) {
var smtpTransport = nodemailer.createTransport('SMTP', {
service: 'SendGrid',
auth: {
user: '!!! YOUR SENDGRID USERNAME !!!',
pass: '!!! YOUR SENDGRID PASSWORD !!!'
}
});
var mailOptions = {
to: user.email,
from: 'passwordreset@demo.com',
subject: 'Node.js Password Reset',
text: 'You are receiving this because you (or someone else) have requested the reset of the password for your account.\n\n' +
'Please click on the following link, or paste this into your browser to complete the process:\n\n' +
'http://' + req.headers.host + '/reset/' + token + '\n\n' +
'If you did not request this, please ignore this email and your password will remain unchanged.\n'
};
smtpTransport.sendMail(mailOptions, function(err) {
req.flash('info', 'An e-mail has been sent to ' + user.email + ' with further instructions.');
done(err, 'done');
});
}
], function(err) {
if (err) return next(err);
res.redirect('/forgot');
});
});
感谢任何帮助。
这段代码试图从网络应用程序初始化密码重置类型的东西——尽管由于我们看不到其他相关代码,所以无法知道这是否可以安全使用。
从你的其他回复来看,你似乎对 async.waterfall 和 crypto.randomBytes 的东西感到困惑,所以我会尝试在这里解释一下。
async.waterfall 是流行的 asyncjs 库中的辅助函数。它的基本工作原理是让您指定一系列函数,这些函数一个接一个地 运行 ,将每个函数的输出传递给下一个函数 运行.
crypto.randomBytes 本质上是一种生成随机字符串的简单方法。它生成一个随机字符串(令牌),用于在给用户的电子邮件中生成 link 到 'secure' 密码重置页面,例如:
https://www.example.com/reset_password?token=randomstringhere
这样,当用户点击那个link的时候,你可以验证它最多是一定的时间 OLD,并保证它之前从未被重置过。
我正在阅读关于 passport.js 的一篇文章,我偶然发现了这段代码,但我不知道它的作用这篇文章没有很好地解释它。你能解释一下它的作用吗?
app.post('/forgot', function(req, res, next) {
async.waterfall([
function(done) {
crypto.randomBytes(20, function(err, buf) {
var token = buf.toString('hex');
done(err, token);
});
},
function(token, done) {
User.findOne({ email: req.body.email }, function(err, user) {
if (!user) {
req.flash('error', 'No account with that email address exists.');
return res.redirect('/forgot');
}
user.resetPasswordToken = token;
user.resetPasswordExpires = Date.now() + 3600000; // 1 hour
user.save(function(err) {
done(err, token, user);
});
});
},
function(token, user, done) {
var smtpTransport = nodemailer.createTransport('SMTP', {
service: 'SendGrid',
auth: {
user: '!!! YOUR SENDGRID USERNAME !!!',
pass: '!!! YOUR SENDGRID PASSWORD !!!'
}
});
var mailOptions = {
to: user.email,
from: 'passwordreset@demo.com',
subject: 'Node.js Password Reset',
text: 'You are receiving this because you (or someone else) have requested the reset of the password for your account.\n\n' +
'Please click on the following link, or paste this into your browser to complete the process:\n\n' +
'http://' + req.headers.host + '/reset/' + token + '\n\n' +
'If you did not request this, please ignore this email and your password will remain unchanged.\n'
};
smtpTransport.sendMail(mailOptions, function(err) {
req.flash('info', 'An e-mail has been sent to ' + user.email + ' with further instructions.');
done(err, 'done');
});
}
], function(err) {
if (err) return next(err);
res.redirect('/forgot');
});
});
感谢任何帮助。
这段代码试图从网络应用程序初始化密码重置类型的东西——尽管由于我们看不到其他相关代码,所以无法知道这是否可以安全使用。
从你的其他回复来看,你似乎对 async.waterfall 和 crypto.randomBytes 的东西感到困惑,所以我会尝试在这里解释一下。
async.waterfall 是流行的 asyncjs 库中的辅助函数。它的基本工作原理是让您指定一系列函数,这些函数一个接一个地 运行 ,将每个函数的输出传递给下一个函数 运行.
crypto.randomBytes 本质上是一种生成随机字符串的简单方法。它生成一个随机字符串(令牌),用于在给用户的电子邮件中生成 link 到 'secure' 密码重置页面,例如:
https://www.example.com/reset_password?token=randomstringhere
这样,当用户点击那个link的时候,你可以验证它最多是一定的时间 OLD,并保证它之前从未被重置过。