在NodeJS中重置密码

时间:2017-03-08 22:14:43

标签: node.js mongodb express passwords passport.js

我已经设置了使用NodeJS / Passport更新用户密码。 我遵循了这个伟大的指南:http://sahatyalkabov.com/how-to-implement-password-reset-in-nodejs/

99%的工作正常。我不得不修改它以包含一些条带功能。我担心我在某个地方遇到了严重的错误,我找不到它。用户目前能够一直完成向他们发送电子邮件,输入新密码并登录的过程。另一封电子邮件说明他们的密码已成功更新。一切都很完美然而。由于某些原因。新密码未被保存。用户只能使用旧密码登录。我已经尝试了所有我能想到的解决方法。

我让其他几位程序员看到了这一点,他们都没有能够弄清楚它在世界上是如何起作用的。

目前的想法是会话可能没有正确结束,但我们尝试销毁会话但它仍然无法正常工作。

任何帮助非常感谢。

完整设置:

用户模型:

var UserSchema = new mongoose.Schema({
    username:   { type: String, required: true, unique: true },
    password:  String,
    datapoint:  String,
    email:  { type: String, required: true, unique: true },
    resetPasswordToken: String,
    resetPasswordExpires: Date
});


UserSchema.pre('save', function(next) {
  var user = this;
  var SALT_FACTOR = 5;

  if (!user.isModified('password')) return next();

  bcrypt.genSalt(SALT_FACTOR, function(err, salt) {
    if (err) return next(err);

    bcrypt.hash(user.password, salt, null, function(err, hash) {
      if (err) return next(err);
      user.password = hash;
      next();
    });
  });
});

注册新帐户 (这也有条纹信息无关,但可能会导致问题。)

var newUser = new User({username: req.body.username, email: req.body.email, datapoint: req.body.datapoint});
      User.register(newUser, req.body.password, function(err, user){


            if(err){
            console.log('Looks like there was an error:' + ' ' + err)
             res.redirect('/login')

          } else {
          passport.authenticate("local")(req, res, function(){

      var user = new User({
      username: req.body.username,
      email: req.body.email,
      password: req.body.password

      })


console.log('creating new account')
console.log('prepping charge')
var token = req.body.stripeToken; // Using Express
var charge = stripe.charges.create({
  amount: 749,
  currency: "usd",
  description: "Example charge",
  source: token,

}, function(err, charge) {
  // asynchronously called
  console.log('charged')
});
            res.redirect('/jobquiz')
             console.log(req.body.datapoint)
             console.log(req.body.email)

          });
          }
      });
});

设置忘记密码发布

app.post('/forgot', function(req, res, next) {
  async.waterfall([
    function(done) {
      crypto.randomBytes(20, function(err, buf) {
        var token = buf.toString('hex');
        done(err, token);
      });
    },
    function(token, done) {
      User.findOne({ email: req.body.email }, function(err, user) {
        if (!user) {
        //   console.log('error', 'No account with that email address exists.');
        req.flash('error', 'No account with that email address exists.');
          return res.redirect('/forgot');
        }
console.log('step 1')
        user.resetPasswordToken = token;
        user.resetPasswordExpires = Date.now() + 3600000; // 1 hour

        user.save(function(err) {
          done(err, token, user);
        });
      });
    },
    function(token, user, done) {
        console.log('step 2')


      var smtpTrans = nodemailer.createTransport({
         service: 'Gmail', 
         auth: {
          user: 'myemail',
          pass: 'mypassword'
        }
      });
      var mailOptions = {

        to: user.email,
        from: 'myemail',
        subject: 'Node.js Password Reset',
        text: 'You are receiving this because you (or someone else) have requested the reset of the password for your account.\n\n' +
          'Please click on the following link, or paste this into your browser to complete the process:\n\n' +
          'http://' + req.headers.host + '/reset/' + token + '\n\n' +
          'If you did not request this, please ignore this email and your password will remain unchanged.\n'

      };
      console.log('step 3')

        smtpTrans.sendMail(mailOptions, function(err) {
        req.flash('success', 'An e-mail has been sent to ' + user.email + ' with further instructions.');
        console.log('sent')
        res.redirect('/forgot');
});
}
  ], function(err) {
    console.log('this err' + ' ' + err)
    res.redirect('/');
  });
});

app.get('/forgot', function(req, res) {
  res.render('forgot', {
    User: req.user
  });
});

设置更改密码帖子

app.get('/reset/:token', function(req, res) {
  User.findOne({ resetPasswordToken: req.params.token, resetPasswordExpires: { $gt: Date.now() } }, function(err, user) {
      console.log(user);
    if (!user) {
      req.flash('error', 'Password reset token is invalid or has expired.');
      return res.redirect('/forgot');
    }
    res.render('reset', {
     User: req.user
    });
  });
});




app.post('/reset/:token', function(req, res) {
  async.waterfall([
    function(done) {
      User.findOne({ resetPasswordToken: req.params.token, resetPasswordExpires: { $gt: Date.now() } }, function(err, user, next) {
        if (!user) {
          req.flash('error', 'Password reset token is invalid or has expired.');
          return res.redirect('back');
        }


        user.password = req.body.password;
        user.resetPasswordToken = undefined;
        user.resetPasswordExpires = undefined;
        console.log('password' + user.password  + 'and the user is' + user)

user.save(function(err) {
  if (err) {
      console.log('here')
       return res.redirect('back');
  } else { 
      console.log('here2')
    req.logIn(user, function(err) {
      done(err, user);
    });

  }
        });
      });
    },





    function(user, done) {
        // console.log('got this far 4')
      var smtpTrans = nodemailer.createTransport({
        service: 'Gmail',
        auth: {
          user: 'myemail',
          pass: 'mypass'
        }
      });
      var mailOptions = {
        to: user.email,
        from: 'myemail',
        subject: 'Your password has been changed',
        text: 'Hello,\n\n' +
          ' - This is a confirmation that the password for your account ' + user.email + ' has just been changed.\n'
      };
      smtpTrans.sendMail(mailOptions, function(err) {
        // req.flash('success', 'Success! Your password has been changed.');
        done(err);
      });
    }
  ], function(err) {
    res.redirect('/');
  });
});

5 个答案:

答案 0 :(得分:7)

我没有(或没有)发现您的代码有任何问题,但我有建议跟踪该错误。

这段代码存在风险。您可能会意外更新密码字段并触发rehash密码过程。

UserSchema.pre('save', function(next) {
   var user = this;
   var SALT_FACTOR = 12; // 12 or more for better security

   if (!user.isModified('password')) return next();

   console.log(user.password) // Check accident password update

   bcrypt.genSalt(SALT_FACTOR, function(err, salt) {
      if (err) return next(err);

      bcrypt.hash(user.password, salt, null, function(err, hash) {
         if (err) return next(err);
         user.password = hash;
         next();
      });
   });
});

console.log后面放if (!user.isModified('password'))以检查密码更新是否意外。现在重试忘记密码,看看是否有任何错误。

* TD; LR将更新密码分隔为新方法,而不是将其置于预先保存中,因为您可能会意外更新新密码以及其他字段

*更新:感谢#imns建议更好的SALT_FACTOR号码。

答案 1 :(得分:5)

我认为问题可能在哈希函数中。尝试将您的代码复制到我的计算机上的更简单但类似的实验中。

正如bcrypt文档在此处陈述https://www.npmjs.com/package/bcrypt#to-hash-a-password

哈希函数只接受3个参数,你发送4个。而你案例中的第三个参数是 null

以下是一些代码来说明问题和希望解决方案

在腌制回调中

bcrypt.hash(user.password, salt, null, function(err, hash) {
  if (err) return next(err);
  user.password = hash;
  next();
});

但是改为将第三个参数改为回调函数。

bcrypt.hash(user.password, salt, function(err, hash) {
  if (err) return next(err);
  user.password = hash;
  next();
});

答案 2 :(得分:1)

我遇到了同样的问题,只是从此行删除null参数:

  

bcrypt.hash(user.password,salt,null,function(err,hash){

答案 3 :(得分:1)

如果您不想自己实现“忘记密码”流程,请考虑使用 authentication-flows-js。 (当然available on npm

这是一个回答大多数流程的模块 - 身份验证、注册、忘记密码、更改密码等,并且它足够安全,因此应用程序可以使用它而不必担心它会很容易被黑客入侵。

Read the full article with more explanations here

答案 4 :(得分:0)

我已在当前​​项目中使用此代码,并且其工作正常,我在函数UserSchema.pre('save', function(next)中看到了代码中的一个小错误。当您使用bcrypt.hash哈希密码时,它需要四个参数,但我的代码中只有三个参数,如

schema.pre('save', function(next) {
    var user = this;
    var SALT_FACTOR = 5;

    if(!user.isModified('password')){
        return next();
    }

    bcrypt.genSalt(SALT_FACTOR, function(err, salt) {
        if(err){
            return next(err);
        }
        bcrypt.hash(user.password, salt, function(err, hash) {
            if(err){
                return next(err);
            }
            user.password = hash;
            next();
        });
    });
});

第三个参数必须是回调函数,请参阅bcrypt

的文档