Aller au contenu principal

Réinitialiser le mot de passe

La fonctionnalité de récupération de mot de passe sera automatiquement activée lorsque vous aurez configuré un connecteur Email ou un connecteur SMS valide. L'utilisateur peut réinitialiser son mot de passe en fournissant son adresse e-mail ou son numéro de téléphone enregistré.

Mot de passe oublié pour la récupération de compte

Une fois la fonctionnalité de réinitialisation du mot de passe activée, un bouton de lien "Mot de passe oublié" s'affichera sous le formulaire de connexion. Les utilisateurs peuvent cliquer sur le lien "Mot de passe oublié" pour lancer le processus de réinitialisation du mot de passe.

remarque:

Vous ne voyez pas le lien "Mot de passe oublié" ? Assurez-vous d'avoir configuré un connecteur Email ou SMS valide.

  1. Visiter la page de connexion : L'utilisateur visite la page de connexion.
  2. Cliquer sur le lien Mot de passe oublié : L'utilisateur clique sur le lien "Mot de passe oublié".
  3. Saisir l’e-mail / le téléphone : Après avoir cliqué sur le lien "Mot de passe oublié", l'utilisateur sera redirigé vers une nouvelle page où il pourra saisir son adresse e-mail ou son numéro de téléphone enregistré.
  4. Envoyer le code de vérification : Logto enverra un code de vérification à l'adresse e-mail ou au numéro de téléphone fourni par l'utilisateur et redirigera vers la page de vérification du code.
  5. Saisir le code de vérification : L'utilisateur saisit le code de vérification reçu par e-mail ou téléphone. Logto vérifiera le code et l'identité de l'utilisateur associé à l'adresse e-mail ou au numéro de téléphone.
  6. Saisir un nouveau mot de passe : L'utilisateur sera invité à saisir un nouveau mot de passe une fois le code de vérification validé avec succès.
  7. Réinitialisation du mot de passe réussie : Si le mot de passe fourni respecte les exigences de la politique de mot de passe, le mot de passe sera mis à jour avec succès.
  8. Redirection vers la page de connexion : L'utilisateur sera redirigé vers la page de connexion pour se connecter avec le nouveau mot de passe.
Flux de réinitialisation du mot de passe

Mettre à jour le mot de passe après connexion

Les utilisateurs authentifiés peuvent changer (ou initialement définir) leur mot de passe via l'expérience de paramètres de compte dans votre application. Voir Paramètres du compte pour savoir comment construire cela avec l’Account API.

Vérifier si l'utilisateur a un mot de passe

Les données utilisateur exposent un champ booléen hasPassword indiquant si l'utilisateur possède actuellement un identifiant de mot de passe enregistré.

Vous pouvez obtenir hasPassword via :

  • Management API : par exemple GET /api/users/:id (inclus dans l'objet utilisateur)
  • Revendications personnalisées de jeton : Injectez hasPassword dans les jetons d’identifiant / d’accès (ainsi votre frontend peut adapter l’UI sans appel API supplémentaire)

Appelez ensuite l’endpoint de l’Account API pour définir ou mettre à jour le mot de passe (voir le guide des paramètres de compte pour les détails de la requête). Pour les utilisateurs qui n'ont jamais eu de mot de passe, vous n'avez PAS besoin (et ne devez pas exiger) l'ancien champ de mot de passe.

astuce:

Même si vos méthodes d'inscription exigent de "Définir un mot de passe" pour les inscriptions par e-mail / téléphone / nom d'utilisateur, les utilisateurs créés via une connexion sociale pure passent par défaut la création de mot de passe pour réduire la friction. Ces utilisateurs auront hasPassword = false jusqu'à ce qu'ils en définissent un explicitement plus tard. Évitez d’imposer la création immédiate d’un mot de passe juste après l’inscription sociale sauf si votre modèle de sécurité l’exige — des invitations différées et contextuelles convertissent généralement mieux.

Politique de mot de passe personnalisée

Personnalisez la longueur du mot de passe, les exigences de caractères et les restrictions de mots pour répondre aux besoins de sécurité de votre entreprise tout en offrant une bonne expérience utilisateur. Ces paramètres peuvent être configurés dans la section Sécurité > Politique de mot de passe. Consultez la documentation sur la politique de mot de passe pour en savoir plus.

FAQ

Comment déconnecter un utilisateur après une réinitialisation réussie du mot de passe ?

Abonnez-vous à l’événement PostResetPassword du webhook pour recevoir une notification lorsqu’un utilisateur réinitialise son mot de passe avec succès. Vous pouvez alors déclencher une action de déconnexion pour invalider la session en cours de l’utilisateur et le rediriger vers la page de connexion.

Comment implémenter le flux de réinitialisation du mot de passe sur mon interface personnalisée ?

Vous pouvez implémenter votre propre flux de réinitialisation de mot de passe en utilisant la Management API et l’Account API de Logto. Consultez paramètres du compte pour plus de détails.

Vous pouvez créer un endpoint auto-hébergé de réinitialisation de mot de passe et utiliser le SDK Logto pour initier une requête de connexion avec first_screen défini sur reset-password. Cela redirigera l’utilisateur de manière transparente vers la page de réinitialisation du mot de passe.