引言
实现忘记密码的短信链接验证功能,可以按照以下步骤进行:
-
用户请求重置密码:用户提供注册手机号码,系统生成一个唯一的重置令牌(token),将令牌和用户信息存储在数据库中,并将包含重置令牌的链接通过短信发送给用户。
-
用户点击链接:用户点击短信中的链接,服务器验证令牌的有效性。如果令牌有效,用户可以设置新密码。
-
设置新密码:用户输入新密码,服务器验证并更新用户密码,删除或使令牌失效。
安全性考虑
- 唯一令牌:生成一个唯一且难以预测的令牌。
- 令牌有效期:设置令牌的有效期,通常为1小时或更短。
- 加密传输:使用HTTPS保证令牌和其他敏感信息在传输过程中是加密的。
- 加密存储:令牌和新密码都应进行加密存储。
实现步骤
首先,安装必要的包:
npm install express body-parser twilio bcrypt jsonwebtoken
假设我们使用 Twilio 作为短信服务提供商。
1. 用户请求重置密码
const express = require('express');
const bodyParser = require('body-parser');
const jwt = require('jsonwebtoken');
const bcrypt = require('bcrypt');
const twilio = require('twilio');const app = express();
app.use(bodyParser.json());const users = {}; // 模拟用户数据库
const resetTokens = {}; // 存储重置令牌// Twilio 设置
const accountSid = 'your-twilio-account-sid';
const authToken = 'your-twilio-auth-token';
const twilioPhoneNumber = 'your-twilio-phone-number';
const client = twilio(accountSid, authToken);// 请求重置密码
app.post('/forgot-password', (req, res) => {const { phoneNumber } = req.body;const user = Object.values(users).find(user => user.phoneNumber === phoneNumber);if (!user) {return res.status(400).send('User not found');}const token = jwt.sign({ id: user.id }, 'your-secret-key', { expiresIn: '1h' });resetTokens[token] = user.id;const resetLink = `http://localhost:3000/reset-password?token=${token}`;client.messages.create({body: `Click the link to reset your password: ${resetLink}`,from: twilioPhoneNumber,to: phoneNumber}).then(message => res.status(200).send('Password reset link sent')).catch(error => res.status(500).send('Error sending SMS'));
});
2. 用户点击链接
// 验证重置令牌并显示重置密码页面
app.get('/reset-password', (req, res) => {const { token } = req.query;if (!token || !resetTokens[token]) {return res.status(400).send('Invalid or expired token');}res.send(`<form action="/reset-password" method="POST"><input type="hidden" name="token" value="${token}" /><input type="password" name="newPassword" placeholder="Enter new password" required /><button type="submit">Reset Password</button></form>`);
});
3. 设置新密码
// 更新用户密码
app.post('/reset-password', async (req, res) => {const { token, newPassword } = req.body;if (!token || !resetTokens[token]) {return res.status(400).send('Invalid or expired token');}try {const { id } = jwt.verify(token, 'your-secret-key');const user = users[id];if (!user) {return res.status(400).send('User not found');}const hashedPassword = await bcrypt.hash(newPassword, 10);user.password = hashedPassword;delete resetTokens[token]; // 删除令牌res.status(200).send('Password reset successfully');} catch (error) {res.status(400).send('Invalid or expired token');}
});const PORT = 3000;
app.listen(PORT, () => {console.log(`Server is running on port ${PORT}`);
});
测试用户数据库
为了测试,可以添加一些初始用户数据:
// 模拟用户数据库
const users = {1: { id: 1, phoneNumber: '+1234567890', password: 'hashedpassword1' },2: { id: 2, phoneNumber: '+0987654321', password: 'hashedpassword2' },
};
完整代码
将上述代码整合在一起,保存到一个文件中,例如 server.js,然后通过以下命令启动服务器:
node server.js
总结
通过上述步骤,你可以实现一个安全的重置密码功能,并通过短信发送包含重置令牌的链接给用户。确保在实际应用中使用强加密和合理的安全措施来保护用户信息。
)
