Passwort zurücksetzen
Die Funktion zur Passwortwiederherstellung wird automatisch aktiviert, wenn du einen gültigen E-Mail-Connector oder SMS-Connector konfiguriert hast. Benutzer können ihr Passwort zurücksetzen, indem sie ihre registrierte E-Mail-Adresse oder Telefonnummer angeben.
Passwort vergessen zur Kontowiederherstellung
Sobald die Funktion zum Zurücksetzen des Passworts aktiviert ist, wird unter dem Anmeldeformular ein Link-Button „Passwort vergessen“ angezeigt. Benutzer können auf den Link „Passwort vergessen“ klicken, um den Prozess zum Zurücksetzen des Passworts zu starten.
Siehst du den Link „Passwort vergessen“ nicht? Stelle sicher, dass du einen gültigen E-Mail- oder SMS-Connector konfiguriert hast.
- Anmeldeseite besuchen: Der Benutzer besucht die Anmeldeseite.
- Auf Passwort vergessen klicken: Der Benutzer klickt auf den Link „Passwort vergessen“.
- E-Mail / Telefon eingeben: Nach dem Klick auf den Link „Passwort vergessen“ wird der Benutzer auf eine neue Seite weitergeleitet, auf der er seine registrierte E-Mail-Adresse oder Telefonnummer eingeben kann.
- Bestätigungscode senden: Logto sendet einen Bestätigungscode an die angegebene E-Mail-Adresse oder Telefonnummer des Benutzers und leitet zur Seite zur Code-Verifizierung weiter.
- Bestätigungscode eingeben: Der Benutzer gibt den per E-Mail oder Telefon erhaltenen Bestätigungscode ein. Logto überprüft den Code und die Identität des Benutzers, die mit der E-Mail-Adresse oder Telefonnummer verknüpft ist.
- Neues Passwort eingeben: Der Benutzer wird aufgefordert, ein neues Passwort einzugeben, sobald der Bestätigungscode erfolgreich verifiziert wurde.
- Erfolgreiches Zurücksetzen des Passworts: Wenn das angegebene Passwort die Anforderungen der Passwort-Richtlinie erfüllt, wird das Passwort erfolgreich aktualisiert.
- Weiterleitung zur Anmeldeseite: Der Benutzer wird zur Anmeldeseite weitergeleitet, um sich mit dem neuen Passwort anzumelden.

Passwort nach Anmeldung aktualisieren
Authentifizierte Benutzer können ihr Passwort über die Kontoeinstellungen in deiner App ändern (oder erstmals festlegen). Siehe Kontoeinstellungen, um dies mit der Account API umzusetzen.
Prüfen, ob ein Benutzer ein Passwort hat
Benutzerdaten enthalten ein boolesches Feld hasPassword
, das angibt, ob der Benutzer derzeit ein Passwort gespeichert hat.
Du kannst hasPassword
wie folgt abrufen:
- Management API: z. B.
GET /api/users/:id
(im Benutzerobjekt enthalten) - Benutzerdefinierte Token-Ansprüche: Injektion von
hasPassword
in ID- / Zugangstokens (damit dein Frontend die UI ohne zusätzlichen API-Aufruf anpassen kann)
Rufe dann den Account API-Endpunkt auf, um das Passwort zu setzen oder zu aktualisieren (siehe Kontoeinstellungen-Guide für Details zur Anfrage). Für Benutzer, die noch nie ein Passwort hatten, brauchst du das alte Passwortfeld NICHT (und solltest es nicht verlangen).
Auch wenn deine Anmeldemethoden „Passwort festlegen“ für E-Mail- / Telefon- / Benutzernamen-Registrierungen erfordern, überspringen Benutzer, die ausschließlich über soziale Anmeldung erstellt wurden, standardmäßig die Passworterstellung, um Reibung zu vermeiden. Diese Benutzer haben hasPassword = false
, bis sie später explizit eines festlegen. Vermeide es, direkt nach der sozialen Anmeldung ein sofortiges Passwort zu erzwingen, es sei denn, dein Sicherheitsmodell erfordert es – verzögerte, kontextabhängige Hinweise führen meist zu besseren Konvertierungen.
Benutzerdefinierte Passwort-Richtlinie
Passe Passwortlänge, Zeichenvorgaben und Wortbeschränkungen an, um die Sicherheitsanforderungen deines Unternehmens zu erfüllen und gleichzeitig eine gute Nutzererfahrung zu bieten. Diese Einstellungen kannst du im Bereich Sicherheit > Passwort-Richtlinie konfigurieren. Siehe die Passwort-Richtlinie Dokumentation für weitere Informationen.
FAQs
Wie kann ich einen Benutzer nach erfolgreichem Passwort-Reset abmelden?
Abonniere das PostResetPassword
Webhook-Ereignis, um eine Benachrichtigung zu erhalten, wenn ein Benutzer sein Passwort erfolgreich zurückgesetzt hat. Du kannst dann eine Abmeldung auslösen, um die aktuelle Sitzung des Benutzers ungültig zu machen und ihn zur Anmeldeseite weiterzuleiten.
Wie implementiere ich den Passwort-Reset-Ablauf in meiner eigenen Benutzeroberfläche?
Du kannst deinen eigenen Ablauf zum Zurücksetzen des Passworts mit der Management API und Account API von Logto umsetzen. Siehe Kontoeinstellungen für weitere Details.
Wie kann ich einen Passwort-Reset-Link an die E-Mail des Benutzers senden?
Du kannst einen selbst gehosteten Endpunkt zum Zurücksetzen des Passworts erstellen und das Logto SDK verwenden, um eine Anmeldeanfrage mit first_screen
auf reset-password
zu initiieren. Dadurch wird der Benutzer nahtlos zur Seite zum Zurücksetzen des Passworts weitergeleitet.