使用passport.js实现密码重置

时间:2015-01-08 16:42:59

标签: javascript node.js express passport.js

我正在阅读一篇关于passport.js的文章,我偶然发现了这段代码,我不知道该文章在解释它时做得不好。你能解释它的作用吗?

app.post('/forgot', function(req, res, next) {
  async.waterfall([
    function(done) {
      crypto.randomBytes(20, function(err, buf) {
        var token = buf.toString('hex');
        done(err, token);
      });
    },
    function(token, done) {
      User.findOne({ email: req.body.email }, function(err, user) {
        if (!user) {
          req.flash('error', 'No account with that email address exists.');
          return res.redirect('/forgot');
        }

        user.resetPasswordToken = token;
        user.resetPasswordExpires = Date.now() + 3600000; // 1 hour

        user.save(function(err) {
          done(err, token, user);
        });
      });
    },
    function(token, user, done) {
      var smtpTransport = nodemailer.createTransport('SMTP', {
        service: 'SendGrid',
        auth: {
          user: '!!! YOUR SENDGRID USERNAME !!!',
          pass: '!!! YOUR SENDGRID PASSWORD !!!'
        }
      });
      var mailOptions = {
        to: user.email,
        from: 'passwordreset@demo.com',
        subject: 'Node.js Password Reset',
        text: 'You are receiving this because you (or someone else) have requested the reset of the password for your account.\n\n' +
          'Please click on the following link, or paste this into your browser to complete the process:\n\n' +
          'http://' + req.headers.host + '/reset/' + token + '\n\n' +
          'If you did not request this, please ignore this email and your password will remain unchanged.\n'
      };
      smtpTransport.sendMail(mailOptions, function(err) {
        req.flash('info', 'An e-mail has been sent to ' + user.email + ' with further instructions.');
        done(err, 'done');
      });
    }
  ], function(err) {
    if (err) return next(err);
    res.redirect('/forgot');
  });
});

感谢任何帮助。

1 个答案:

答案 0 :(得分:2)

此代码尝试从webapp初始化密码重置类型的东西 - 虽然因为我们无法看到其他相关代码,所以无法知道这是否可以安全使用

根据您的其他回复,您似乎对async.waterfallcrypto.randomBytes内容感到困惑,因此我会尝试在此处解释这些内容。

async.waterfall是热门asyncjs库中的辅助函数。它基本上可以让你指定一系列将一个接一个地运行的函数,将每个函数的输出传递给下一个要运行的函数。

crypto.randomBytes本质上是一种生成随机字符串的简便方法。它会生成一个随机字符串(令牌),用于生成指向“安全”的链接。密码重置页面在给用户的电子邮件中,如:

https://www.example.com/reset_password?token=randomstringhere

这样,当用户点击该链接时,您可以验证它至多是OLD的一定时间,并保证以前从未重置过。

稍微不相关的说明,如果您正在寻找一种简单的方法来添加“密码重置”功能。您的Express.js应用程序的功能,您可能想看看express-stormpath(我是作者)。它使这种事情变得非常简单,因为它支持内置的所有内容。

相关问题
最新问题