Appearance
重置密码
介绍
大多数 Web 应用程序都为用户提供了一种重置其忘记密码的方法。Laravel 不是强迫您为您创建的每个应用程序手动重新实现这一点,而是为发送密码重置链接和安全重置密码提供了方便的服务。
NOTE
想要快速入门?在新的 Laravel 应用程序中安装 Laravel 应用程序初学者工具包。Laravel 的初学者工具包将负责构建您的整个身份验证系统,包括重置忘记的密码。
模型准备
在使用 Laravel 的密码重置功能之前,应用程序的 App\Models\User 模型必须使用 Illuminate\Notifications\Notifiable trait。通常,此特征已包含在使用新 Laravel 应用程序创建的默认 App\Models\User 模型中。
接下来,验证您的 App\Models\User 模型是否实现了 Illuminate\Contracts\Auth\CanResetPassword 协定。框架中包含的 App\Models\User 模型已经实现了这个接口,并使用该 Illuminate\Auth\Passwords\CanResetPassword trait 来包含实现该接口所需的方法。
数据库准备
必须创建一个表来存储应用程序的密码重置令牌。通常,这包含在 Laravel 的默认 0001_01_01_000000_create_users_table.php 数据库迁移中。
配置可信主机
默认情况下,Laravel 将响应它收到的所有请求,而不管 HTTP 请求的 Host 标头的内容如何。此外,在 Web 请求期间生成应用程序的绝对 URL 时,将使用 Host 标头的值。
通常,您应该将 Web 服务器(例如 Nginx 或 Apache)配置为仅向应用程序发送与给定主机名匹配的请求。但是,如果您无法直接自定义 Web 服务器,并且需要指示 Laravel 仅响应某些主机名,则可以在应用程序的 bootstrap/app.php 文件中使用 trustHosts 中间件方法来实现。当您的应用程序提供口令重置功能时,这一点尤其重要。
要了解有关此中间件方法的更多信息,请参阅 TrustHosts 中间件文档。
路由
为了正确实现对允许用户重置密码的支持,我们需要定义几个路由。首先,我们需要一对路由来处理,允许用户通过他们的电子邮件地址请求密码重置链接。其次,我们需要一对路由,以便在用户访问通过电子邮件发送给他们的密码重置链接并完成密码重置表单后实际处理重置密码。
请求密码重置链接
密码重置链接申请表
首先,我们将定义请求密码重置链接所需的路由。首先,我们将定义一个路由,该路由返回一个包含密码重置链接请求表单的视图:
php
Route::get('/forgot-password', function () {
return view('auth.forgot-password');
})->middleware('guest')->name('password.request');此路由返回的视图应具有一个包含email字段的表单,该字段将允许用户请求给定电子邮件地址的密码重置链接。
处理表单提交
接下来,我们将定义一个路由,用于处理来自 “forgot password” 视图的表单提交请求。此路由将负责验证电子邮件地址并将密码重置请求发送给相应的用户:
php
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Password;
Route::post('/forgot-password', function (Request $request) {
$request->validate(['email' => 'required|email']);
$status = Password::sendResetLink(
$request->only('email')
);
return $status === Password::RESET_LINK_SENT
? back()->with(['status' => __($status)])
: back()->withErrors(['email' => __($status)]);
})->middleware('guest')->name('password.email');在继续之前,让我们更详细地研究这条路线。首先,验证请求的 email 属性。接下来,我们将使用 Laravel 内置的 “密码代理” (通过 Password Facade) 向用户发送密码重置链接。密码代理将负责通过给定字段(在本例中为电子邮件地址)检索用户,并通过 Laravel 的内置通知系统向用户发送密码重置链接。
sendResetLink 方法返回 “status” slug。可以使用 Laravel 的本地化助手来翻译此状态,以便向用户显示有关其请求状态的用户友好消息。密码重置状态的转换由应用程序的 lang/{lang}/passwords.php 语言文件决定。status slug 的每个可能值的条目都位于 passwords 语言文件中。
NOTE
默认情况下,Laravel 应用程序框架不包括 lang 目录。如果你想自定义 Laravel 的语言文件,你可以通过 lang:publish Artisan 命令发布它们。
您可能想知道 Laravel 在调用 Password Facade的 sendResetLink 方法时如何知道如何从应用程序的数据库中检索用户记录。Laravel 密码代理利用您的身份验证系统的“用户提供程序”来检索数据库记录。密码代理使用的用户提供程序在 config/auth.php 配置文件的 passwords 配置数组中配置。要了解有关编写自定义用户提供程序的更多信息,请参阅身份验证文档。
NOTE
手动实现密码重置时,您需要自己定义视图和路由的内容。如果您想要包含所有必要身份验证和验证逻辑的基架,请查看 Laravel 应用程序初学者工具包。
重置密码
密码重置表单
接下来,我们将定义在用户单击已通过电子邮件发送给他们的密码重置链接并提供新密码后实际重置密码所需的路由。首先,让我们定义一个路由,该路由将显示当用户单击 reset password 链接时显示的 reset password 表单。此路由将接收一个 token 参数,我们稍后将使用它来验证密码重置请求:
php
Route::get('/reset-password/{token}', function (string $token) {
return view('auth.reset-password', ['token' => $token]);
})->middleware('guest')->name('password.reset');此路由返回的视图应显示一个表单,其中包含一个 email 字段、一个 password 字段、一个 password_confirmation 字段和一个隐藏的 token 字段,该字段应包含路由收到的 secret $token的值。
处理表单提交
当然,我们需要定义一个路由来实际处理密码重置表单的提交。此路由将负责验证传入请求并在数据库中更新用户的密码:
php
use App\Models\User;
use Illuminate\Auth\Events\PasswordReset;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
use Illuminate\Support\Facades\Password;
use Illuminate\Support\Str;
Route::post('/reset-password', function (Request $request) {
$request->validate([
'token' => 'required',
'email' => 'required|email',
'password' => 'required|min:8|confirmed',
]);
$status = Password::reset(
$request->only('email', 'password', 'password_confirmation', 'token'),
function (User $user, string $password) {
$user->forceFill([
'password' => Hash::make($password)
])->setRememberToken(Str::random(60));
$user->save();
event(new PasswordReset($user));
}
);
return $status === Password::PASSWORD_RESET
? redirect()->route('login')->with('status', __($status))
: back()->withErrors(['email' => [__($status)]]);
})->middleware('guest')->name('password.update');在继续之前,让我们更详细地研究这条路线。首先,验证请求的 token、email 和 password 属性。接下来,我们将使用 Laravel 的内置“密码代理”(通过 Password Facade)来验证密码重置请求凭据。
如果提供给密码代理的令牌、电子邮件地址和密码有效,则将调用传递给 reset 方法的闭包。在此 Closure 中,接收用户实例和提供给密码重置表单的纯文本密码,我们可能会在数据库中更新用户的密码。
reset 方法返回一个 “status” slug。可以使用 Laravel 的本地化助手来翻译此状态,以便向用户显示有关其请求状态的用户友好消息。密码重置状态的翻译由应用程序的 lang/{lang}/passwords.php 语言文件决定。status slug 的每个可能值的条目都位于 passwords 语言文件中。如果您的应用程序不包含 lang 目录,则可以使用 lang:publish Artisan 命令创建它。
在继续之前,您可能想知道 Laravel 是如何在调用 Password Facade 的 reset 方法时从应用程序的数据库中检索用户记录的。Laravel 密码代理利用您的身份验证系统的“用户提供程序”来检索数据库记录。密码代理使用的用户提供程序在 config/auth.php 配置文件的 passwords 配置数组中配置。要了解有关编写自定义用户提供程序的更多信息,请参阅身份验证文档。
删除过期的 Token
已过期的密码重置令牌仍将存在于您的数据库中。但是,您可以使用 auth:clear-resets Artisan 命令轻松删除这些记录:
shell
php artisan auth:clear-resets如果您想自动化此过程,请考虑将命令添加到应用程序的调度程序中:
php
use Illuminate\Support\Facades\Schedule;
Schedule::command('auth:clear-resets')->everyFifteenMinutes();定制
重置链接自定义
您可以使用 ResetPassword 通知类提供的 createUrlUsing 方法自定义密码重置链接 URL。此方法接受一个闭包,该闭包接收接收通知的用户实例以及密码重置链接令牌。通常,您应该从 App\Providers\AppServiceProvider 服务提供商的启动方法中调用此方法:
php
use App\Models\User;
use Illuminate\Auth\Notifications\ResetPassword;
/**
* Bootstrap any application services.
*/
public function boot(): void
{
ResetPassword::createUrlUsing(function (User $user, string $token) {
return 'https://example.com/reset-password?token='.$token;
});
}重置电子邮件自定义
您可以轻松修改用于向用户发送密码重置链接的通知类。首先,覆盖 App\Models\User 模型上的 sendPasswordResetNotification 方法。在此方法中,您可以使用自己创建的任何通知类发送通知。密码重置$token是该方法接收的第一个参数。您可以使用此$token构建您选择的密码重置 URL,并将您的通知发送给用户:
php
use App\Notifications\ResetPasswordNotification;
/**
* 向用户发送密码重置通知。
*
* @param string $token
*/
public function sendPasswordResetNotification($token): void
{
$url = 'https://example.com/reset-password?token='.$token;
$this->notify(new ResetPasswordNotification($url));
}