重設密碼
當你配置了有效的 Email 連接器 或 SMS 連接器 時,密碼恢復功能將自動啟用。使用者可以透過提供其註冊的電子郵件地址或電話號碼來重設密碼。
密碼重設流程
一旦啟用重設密碼功能,登入表單下方將顯示「忘記密碼」連結按鈕。使用者可以點擊「忘記密碼」連結來啟動密碼重設流程。
備註:
看不到「忘記密碼」連結?請確保你已配置有效的 Email 或 SMS 連接器。
- 訪問登入頁面:使用者訪問登入頁面。
- 點擊忘記密碼連結:使用者點擊「忘記密碼」連結。
- 輸入電子郵件 / 電話:點擊「忘記密碼」連結後,使用者將被重定向到新頁面,在此頁面中可以輸入其註冊的電子郵件地址或電話號碼。
- 發送驗證碼:Logto 將發送驗證碼到使用者提供的電子郵件地址或電話號碼,並重定向到驗證碼驗證頁面。
- 輸入驗證碼:使用者輸入其電子郵件或電話中收到的驗證碼。Logto 將驗證該驗證碼及與該電子郵件地址或電話號碼相關的使用者身分。
- 輸入新密碼:驗證碼成功驗證後,使用者將被提示輸入新密碼。
- 成功重設密碼:如果提供的密碼符合密碼政策要求,密碼將成功更新。
- 重定向到登入頁面:使用者將被重定向到登入頁面,以使用新密碼登入。
為已驗證使用者更新密碼
對於已驗證的使用者,他們可以通過訪問帳戶設定頁面來更新其密碼。查看 帳戶設定 以了解更多關於實作使用者帳戶設定頁面的資訊。
設定密碼政策
對於新使用者或更新密碼的使用者,你可以設定密碼政策以強制執行密碼強度要求。訪問 Console > Sign-in experience > Password policy 來配置密碼政策設定。
- 最小密碼長度:設定密碼所需的最小字元數。(NIST 建議至少使用 8 個 字元)
- 最小所需字元類型:設定密碼所需的最小字元類型數。可用的字元類型有:
- 大寫字母:
(A-Z) - 小寫字母:
(a-z) - 數字:
(0-9) - 特殊字元:
(!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
- 大寫字母:
- 洩漏歷史檢查:啟用此設定以拒絕在資料洩漏中曾經曝光的密碼。(由 Have I Been Pwned 提供支持)
- 重複檢查:啟用此設定以拒絕包含重複字元的密碼。(例如,「11111111」或「password123」)
- 使用者資訊檢查:啟用此設定以拒絕包含使用者資訊(如使用者名稱、電子郵件地址或電話號碼)的密碼。
- 自訂字詞:提供一個你想在密碼中拒絕的自訂字詞列表(不區分大小寫)。
常見問題
如何在成功重設密碼後登出使用者?
訂閱 PostResetPassword Webhook 事件 以在使用者成功重設密碼時接收通知。然後你可以觸發 登出 操作以使使用者的當前會話失效並將其重定向到登入頁面。
如何將密碼重設連結發送到使用者的電子郵件?
你可以創建一個自託管的密碼重設端點,並利用 Logto SDK 發起一個登入請求,將 first_screen 設置為 reset-password。這將無縫地將使用者重定向到密碼重設頁面。