Passwort zurücksetzen

Logto bietet eine umfassende Funktion zum Zurücksetzen des Passworts, mit der Benutzer sicher wieder Zugriff auf ihre Konten erhalten können, wenn sie ihr Passwort vergessen haben oder es ändern möchten. Diese Funktion unterstützt mehrere Verifizierungsmethoden, einschließlich E-Mail und SMS, sodass Benutzer über ihren bevorzugten Kommunikationskanal wieder Zugriff erhalten können.

Passwort vergessen zur Kontowiederherstellung

Konfiguration

Um die Funktion "Passwort vergessen" zu aktivieren:

Connectors konfigurieren: Richte E-Mail oder SMS Connectors in Konsole > Connectors > E-Mail- und SMS-Connectors ein.
Benutzerkontaktinformationen erfassen: Stelle sicher, dass Benutzer während der Registrierung oder über die Kontoeinstellungen eine E-Mail / Telefonnummer hinterlegt haben.
Verifizierungsmethoden aktivieren:
- Gehe zu Konsole > Anmeldeerlebnis > Registrierung und Anmeldung
- Aktiviere Passwort als Anmeldemethode
- Füge E-Mail-Bestätigungscode und/oder Telefon-Bestätigungscode für Passwort vergessen hinzu
Speichern und testen: Änderungen speichern und mit der Live-Vorschau testen

Benutzererlebnis-Ablauf

Sobald die Funktion zum Zurücksetzen des Passworts aktiviert ist, wird unter dem Anmeldeformular ein Link-Button "Passwort vergessen" angezeigt. Benutzer können auf den Link "Passwort vergessen" klicken, um den Prozess zum Zurücksetzen des Passworts zu starten.

Anmeldeseite besuchen: Der Benutzer besucht die Anmeldeseite.
Auf Passwort vergessen klicken: Der Benutzer klickt auf den Link "Passwort vergessen".
E-Mail / Telefon eingeben: Nach dem Klick auf den Link "Passwort vergessen" wird der Benutzer auf eine neue Seite weitergeleitet, auf der er seine registrierte E-Mail-Adresse oder Telefonnummer eingeben kann.
Bestätigungscode senden: Logto sendet einen Bestätigungscode an die angegebene E-Mail-Adresse oder Telefonnummer des Benutzers und leitet zur Code-Bestätigungsseite weiter.
Bestätigungscode eingeben: Der Benutzer gibt den erhaltenen Bestätigungscode aus E-Mail oder Telefon ein. Logto überprüft den Code und die Identität des Benutzers, die mit der E-Mail-Adresse oder Telefonnummer verknüpft ist.
Neues Passwort eingeben: Nach erfolgreicher Verifizierung des Codes wird der Benutzer aufgefordert, ein neues Passwort einzugeben.
Erfolgreiches Zurücksetzen des Passworts: Wenn das angegebene Passwort die Passwort-Richtlinien erfüllt, wird das Passwort erfolgreich aktualisiert.
Weiterleitung zur Anmeldeseite: Der Benutzer wird zur Anmeldeseite weitergeleitet, um sich mit dem neuen Passwort anzumelden.

Authentifizierte Benutzer können ihr Passwort über die Kontoeinstellungen in deiner App ändern (oder erstmals setzen). Siehe Kontoeinstellungen, um dies mit der Account API umzusetzen.

Prüfen, ob ein Benutzer ein Passwort hat

Benutzerdaten enthalten ein boolesches Feld hasPassword, das angibt, ob der Benutzer derzeit ein Passwort-Credential gespeichert hat.

Du kannst hasPassword erhalten durch:

Management API: z. B. GET /api/users/:id (im Benutzerobjekt enthalten)
Benutzerdefinierte Token-Ansprüche: Injektion von hasPassword in ID- / Zugangstokens (damit dein Frontend die UI ohne zusätzlichen API-Call verzweigen kann)

Rufe dann den Account API-Endpunkt auf, um das Passwort zu setzen oder zu aktualisieren (siehe Kontoeinstellungen-Guide für Details zur Anfrage). Für Benutzer, die noch nie ein Passwort hatten, brauchst du das alte Passwortfeld NICHT (und solltest es nicht verlangen).

tipp:

Auch wenn deine Registrierungs-Methoden „Passwort setzen“ für E-Mail / Telefon / Benutzernamen-Registrierungen erfordern, überspringen Benutzer, die ausschließlich über soziale Anmeldung erstellt wurden, standardmäßig die Passwort-Erstellung, um Reibung zu vermeiden. Diese Benutzer haben hasPassword = false, bis sie später explizit eines setzen. Vermeide es, direkt nach der sozialen Registrierung ein sofortiges Passwort-Setup zu erzwingen, es sei denn, dein Sicherheitsmodell erfordert es – verzögerte, kontextbezogene Hinweise führen meist zu besseren Konversionsraten.

Benutzerdefinierte Passwort-Richtlinie

Passe Passwortlänge, Zeichenvorgaben und Wortbeschränkungen an, um die Sicherheitsanforderungen deines Unternehmens zu erfüllen und gleichzeitig eine gute Benutzererfahrung zu bieten. Diese Einstellungen kannst du im Bereich Sicherheit > Passwort-Richtlinie konfigurieren. Siehe die Passwort-Richtlinie Dokumentation für weitere Informationen.

FAQs

Wie kann ich einen Benutzer nach erfolgreichem Zurücksetzen des Passworts abmelden?

Abonniere das PostResetPassword Webhook-Ereignis, um eine Benachrichtigung zu erhalten, wenn ein Benutzer sein Passwort erfolgreich zurückgesetzt hat. Du kannst dann eine Abmeldung auslösen, um die aktuelle Sitzung des Benutzers ungültig zu machen und ihn zur Anmeldeseite weiterzuleiten.

Wie implementiere ich den Passwort-zurücksetzen-Ablauf in meinem eigenen UI?

Du kannst deinen eigenen Ablauf zum Zurücksetzen des Passworts mit der Management API und Account API von Logto implementieren. Siehe Kontoeinstellungen für weitere Details.

Wie kann ich einen Link zum Zurücksetzen des Passworts an die E-Mail des Benutzers senden?

Du kannst einen selbst gehosteten Endpunkt zum Zurücksetzen des Passworts erstellen und das Logto SDK verwenden, um eine Anmeldeanfrage mit first_screen auf reset-password zu initiieren. Dadurch wird der Benutzer nahtlos zur Seite zum Zurücksetzen des Passworts weitergeleitet.

Passwort vergessen zur Kontowiederherstellung​

Konfiguration​

Benutzererlebnis-Ablauf​

Passwort nach Anmeldung aktualisieren​

Prüfen, ob ein Benutzer ein Passwort hat​

Benutzerdefinierte Passwort-Richtlinie​

FAQs​

Wie kann ich einen Benutzer nach erfolgreichem Zurücksetzen des Passworts abmelden?​

Wie implementiere ich den Passwort-zurücksetzen-Ablauf in meinem eigenen UI?​

Wie kann ich einen Link zum Zurücksetzen des Passworts an die E-Mail des Benutzers senden?​