パスワードのリセット
有効な Email コネクター または SMS コネクター が設定されている場合、パスワード回復機能が自動的に有効になります。ユーザーは登録済みのメールアドレスまたは電話番号を提供することでパスワードをリセットできます。
パスワードリセットのフロー
パスワードリセット機能が有効になると、サインインフォームの下に「パスワードを忘れた」リンクボタンが表示されます。ユーザーは「パスワードを忘れた」リンクをクリックして、パスワードリセットプロセスを開始できます。
「パスワードを忘れた」リンクが表示されない場合は、有効な Email または SMS コネクターが設定されていることを確認してください。
- サインインページを訪問:ユーザーがサインインページを訪れます。
- パスワードを忘れたリンクをクリック:ユーザーが「パスワードを忘れた」リンクをクリックします。
- メール/電話を入力:ユーザーは「パスワードを忘れた」リンクをクリックした後、登録済みのメールアドレスまたは電話番号を入力できる新しいページにリダイレクトされます。
- 確認コードを送信:Logto はユーザーが提供したメールアドレスまたは電話番号に確認コードを送信し、コード確認ページにリダイレクトします。
- 確認コードを入力:ユーザーはメールまたは電話で受け取った確認コードを入力します。Logto はコードとメールアドレスまたは電話番号に関連付けられたユーザーのアイデンティティを確認します。
- 新しいパスワードを入力:確認コードが正常に確認されると、ユーザーは新しいパスワードを入力するよう求められます。
- パスワードリセットの成功:提供されたパスワードがパスワードポリシーの要件を満たしている場合、パスワードは正常に更新されます。
- サインインページにリダイレクト:ユーザーは新しいパスワードでサインインするためにサインインページにリダイレクトされます。
認証済みユーザーのパスワード更新
認証済みユーザーは、アカウント設定ページにアクセスしてパスワードを更新できます。ユーザーアカウント設定ページの実装については、アカウント設定を確認してください。
パスワードポリシーの設定
新しいユーザーやパスワードを更新するユーザーに対して、パスワードの強度要件を強制するためのパスワードポリシーを設定できます。Console > サインイン体験 > パスワードポリシー にアクセスして、パスワードポリシーの設定を構成してください。
- 最小パスワード長:パスワードに必要な最小文字数を設定します。(NIST は少なくとも 8 文字 を使用することを推奨しています)
- 必要な文字タイプの最小数:パスワードに必要な文字タイプの最小数を設定します。利用可能な文字タイプは次のとおりです:
- 大文字:
(A-Z) - 小文字:
(a-z) - 数字:
(0-9) - 特殊文字:
(!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
- 大文字:
- 漏洩履歴チェック:この設定を有効にして、データ漏洩で以前に公開されたパスワードを拒否します。(Have I Been Pwned によって提供されています)
- 繰り返しチェック:この設定を有効にして、繰り返し文字を含むパスワードを拒否します。(例:「11111111」または「password123」)
- ユーザー情報チェック:この設定を有効にして、ユーザー名、メールアドレス、または電話番号などのユーザー情報を含むパスワードを拒否します。
- カスタムワード:パスワードで拒否したいカスタムワード(大文字小文字を区別しない)のリストを提供します。
よくある質問
パスワードリセットが成功した後にユーザーをサインアウトする方法は?
ユーザーがパスワードを正常にリセットしたときに通知を受け取るために、PostResetPassword Webhook イベント を購読します。その後、ユーザーの現在のセッションを無効にし、サインインページにリダイレクトするために サインアウト アクションをトリガーできます。
カスタム UI でパスワードリセットフローを実装する方法は?
Logto の Management API と Account API を使用して独自のパスワードリセットフローを実装できます。詳細については アカウント設定 を確認してください。
ユーザーのメールにパスワードリセットリンクを送信する方法は?
自己ホスト型のパスワードリセットエンドポイントを作成し、Logto SDK を利用して first_screen を reset-password に設定してサインインリクエストを開始できます。これにより、ユーザーはシームレスにパスワードリセットページにリダイレクトされます。