我正在使用Meteor及其帐户系统。我的注册过程涉及重置密码的几个步骤。
Template['enrollment'].events({
'submit #reset-password-form': function (e, template) {
e.preventDefault();
let token = Session.get('_resetPasswordToken');
let user = Meteor.users.findOne({ "services.password.reset.token": token });
let password = $(e.target).find('input#password').val();
if (AutoForm.validateForm('reset-password-form')) {
resetPasswordAsync(token, password)
.then(() => {
return Meteor.promise('Orders.initialize', template.data);
})
// a few more `.then()s`
.catch((error) => {
Notify.warn(error.message);
Meteor.call('User._resetToken', user, token);
})
}
}
});
原因是因为如果承诺链中的任何内容失败,那么它们将保持在同一页面上但具有“未初始化”状态。
我使用meteor方法,因为用户不应该更改他/她的服务来更改他们的令牌。
Meteor.methods({
'User._resetToken': function (user, token) {
check(user, Meteor.users.simpleSchema());
check(token, String);
Meteor.users.update(user._id, {
"services.password.reset.token": token
});
}
});
答案 0 :(得分:1)
首先,不要向该方法提供用户对象,用户可能能够重置其他用户的重置令牌。
其次,仅仅因为您已将其置于服务器方法中并不能确保其安全。来自控制台的用户可以键入Meteor.call(user,token)并重置其令牌或任何其他用户的令牌(假设他们知道其他用户 _id 。
如果用户已经重置了密码,则根本不再需要该令牌。它只需要过短暂的生活。