Aller au contenu principal

Réinitialiser le mot de passe

Logto propose une fonctionnalité complète de réinitialisation du mot de passe qui permet aux utilisateurs de récupérer de manière sécurisée l'accès à leur compte lorsqu'ils oublient leur mot de passe ou souhaitent le modifier. Cette fonctionnalité prend en charge plusieurs méthodes de vérification, notamment l'e-mail et le SMS, garantissant ainsi que les utilisateurs peuvent retrouver l'accès via leur canal de communication préféré.

Mot de passe oublié pour la récupération de compte

Configuration

Pour activer la fonctionnalité de mot de passe oublié :

  1. Configurer les connecteurs : Configurez les connecteurs Email ou SMS dans Console > Connecteurs > Connecteurs Email et SMS

  2. Collecter les informations de contact utilisateur : Assurez-vous que les utilisateurs ont un e-mail / téléphone enregistré lors de l'inscription ou via les paramètres du compte

  3. Activer les méthodes de vérification :

  4. Enregistrez et testez : Enregistrez les modifications et testez avec Aperçu en direct

Parcours utilisateur

Une fois la fonctionnalité de réinitialisation du mot de passe activée, un bouton de lien "Mot de passe oublié" s'affichera sous le formulaire de connexion. Les utilisateurs peuvent cliquer sur le lien "Mot de passe oublié" pour lancer le processus de réinitialisation.

  1. Visiter la page de connexion : L'utilisateur visite la page de connexion.
  2. Cliquer sur le lien Mot de passe oublié : L'utilisateur clique sur le lien "Mot de passe oublié".
  3. Saisir l'e-mail / téléphone : Après avoir cliqué sur le lien "Mot de passe oublié", l'utilisateur sera redirigé vers une nouvelle page où il pourra saisir son adresse e-mail ou numéro de téléphone enregistré.
  4. Envoyer le code de vérification : Logto enverra un code de vérification à l'adresse e-mail ou au numéro de téléphone fourni par l'utilisateur et redirigera vers la page de vérification du code.
  5. Saisir le code de vérification : L'utilisateur saisit le code de vérification reçu par e-mail ou téléphone. Logto vérifiera le code et l'identité de l'utilisateur associé à l'adresse e-mail ou au numéro de téléphone.
  6. Saisir un nouveau mot de passe : L'utilisateur sera invité à saisir un nouveau mot de passe une fois le code de vérification validé avec succès.
  7. Réinitialisation du mot de passe réussie : Si le mot de passe fourni respecte la politique de mot de passe, il sera mis à jour avec succès.
  8. Redirection vers la page de connexion : L'utilisateur sera redirigé vers la page de connexion pour se connecter avec le nouveau mot de passe.
Flux de réinitialisation du mot de passe

Mettre à jour le mot de passe après connexion

Les utilisateurs authentifiés peuvent changer (ou initialiser) leur mot de passe via l'expérience des paramètres de compte dans votre application. Consultez Paramètres du compte pour savoir comment le mettre en place avec l’Account API.

Vérifier si l'utilisateur a un mot de passe

Les données utilisateur exposent un champ booléen hasPassword indiquant si l'utilisateur possède actuellement un mot de passe enregistré.

Vous pouvez obtenir hasPassword via :

Appelez ensuite l’endpoint Account API pour définir ou mettre à jour le mot de passe (voir le guide des paramètres de compte pour les détails de la requête). Pour les utilisateurs qui n'ont jamais eu de mot de passe, vous n'avez PAS besoin (et ne devez pas exiger) l'ancien mot de passe.

astuce:

Même si vos méthodes d'inscription exigent de “Définir un mot de passe” pour les inscriptions par e-mail / téléphone / nom d'utilisateur, les utilisateurs créés via une connexion sociale pure passent par défaut la création du mot de passe pour réduire les frictions. Ces utilisateurs auront hasPassword = false jusqu'à ce qu'ils en définissent un explicitement plus tard. Évitez d'imposer la création immédiate d'un mot de passe juste après une inscription sociale sauf si votre modèle de sécurité l'exige — des invitations différées et contextuelles convertissent généralement mieux.

Politique de mot de passe personnalisée

Personnalisez la longueur du mot de passe, les exigences de caractères et les restrictions de mots pour répondre aux besoins de sécurité de votre entreprise tout en offrant une bonne expérience utilisateur. Ces paramètres peuvent être configurés dans la section Sécurité > Politique de mot de passe. Consultez la documentation sur la politique de mot de passe pour en savoir plus.

FAQ

Comment déconnecter un utilisateur après une réinitialisation réussie du mot de passe ?

Abonnez-vous à l’événement webhook PostResetPassword webhook event pour recevoir une notification lorsqu’un utilisateur réinitialise son mot de passe avec succès. Vous pouvez alors déclencher une action de déconnexion pour invalider la session en cours de l’utilisateur et le rediriger vers la page de connexion.

Comment implémenter le flux de réinitialisation du mot de passe sur mon interface personnalisée ?

Vous pouvez implémenter votre propre flux de réinitialisation du mot de passe en utilisant la Management API et l’Account API de Logto. Consultez les paramètres du compte pour plus de détails.

Vous pouvez créer un endpoint de réinitialisation de mot de passe auto-hébergé et utiliser le SDK Logto pour initier une requête de connexion avec first_screen défini sur reset-password. Cela redirigera automatiquement l’utilisateur vers la page de réinitialisation du mot de passe.