passport-local-mongoose检查旧密码后设置新密码

时间:2017-08-11 20:50:32

标签: node.js express mongoose passport.js change-password

我使用passportjs来处理我的应用程序的身份验证。 一旦用户登录,我想添加从应用程序内部更改密码的可能性。

这是在我的控制器中:

$http.post('/change-my-password',{oldPassword: $scope.user.oldpassword, newPassword: $scope.user.newpassword})
    .then(function (res) {
        if (res.data.success) {
            // password has been changed.
        } else {
            // old password was wrong.
        }
    });

这是我在后端的express node中的路由处理程序:

router.post('/change-my-password', function (req, res) {
    if (!req.isAuthenticated()) {
        return res.status(403).json({
            success: false
        });
    }
    UserSchema.findById(req.user._id, function(err, user){
        if (err) return res.status(200).json({success: false});

        user.validatePassword(req.body.oldPassword, function(err) {

            if (err){
                return res.status(200).json({
                    success: false
                });
            }

            user.setPassword(req.body.newPassword, function() {
                if (err || !user) {
                    return res.status(200).json(
                        {
                            success: false
                        }
                    )
                }

                user.save(function(err) {
                    if (err) return res.status(200).json({success: false});

                    req.login(user, function (err) {
                        if (err) return res.status(200).json({success: false});
                        return res.status(200).json({success: true});
                    });

                });
            });


        });


    });
});   

这是我的用户架构模型:

// user model
var mongoose = require('mongoose');
var Schema = mongoose.Schema;
var passportLocalMongoose = require('passport-local-mongoose');
var bcrypt = require('bcrypt-nodejs');

var UserSchema = new Schema({
    email: String,
    password: String,
    confirmStatus: Boolean,
    token: String,
    registerAt: Number
});

UserSchema.methods.validatePassword = function (password, callback) {
    this.authenticate(password, callback);
};


UserSchema.plugin(passportLocalMongoose,
    {
        usernameField: 'email'
    });

module.exports = mongoose.model('users', UserSchema);

问题:

我在我的mongoose架构UserSchema中通过Id找到我的用户,然后我应该检查oldPassword是否有效,然后我设置新密码。
我成功找到用户并设置了新密码。但是应该检查旧密码字段的比较的部分根本不起作用。无论我在旧密码字段中输入什么,都会接受为OK,并跳过该步骤。然而,它应该抛出一个错误,说旧密码是错误的。


我也建议使用 sanitizedUser ,以免显示我的盐等。

问题是:如何先对旧密码进行比较检查,然后再设置新密码?如果可能,我该如何使用消毒?如何检查用户是否输入的密码与新密码不同?或者如果可能的话,说新密码与旧密码非常相似?

1 个答案:

答案 0 :(得分:1)

您可以使用the new feature added 3 days ago实现它:

只需使用changePassword method,它就可以通过以下方式处理:

schema.methods.changePassword = function(oldPassword, newPassword, cb) {
    if (!oldPassword || !newPassword) {
      return cb(new errors.MissingPasswordError(options.errorMessages.MissingPasswordError));
    }

    var self = this;

    this.authenticate(oldPassword, function(err, authenticated) {
      if (err) { return cb(err); }

      if (!authenticated) {
        return cb(new errors.IncorrectPasswordError(options.errorMessages.IncorrectPasswordError));
      }

      self.setPassword(newPassword, function(setPasswordErr, user) {
        if (setPasswordErr) { return cb(setPasswordErr); }

        self.save(function(saveErr) {
          if (saveErr) { return cb(saveErr); }

          cb(null, user);
        });
      });
    });
  };

因此,在您的代码中,您需要替换 validatePassword 方法:

user.changePassword(req.body.oldPassword,req.body.newPassword, function(err) {

            if (err){
                return res.status(200).json({
                    success: false
                });
            }

希望这适合你。