Djanog与React如何通过向用户发送电子邮件来重置用户密码

时间:2019-02-23 08:32:53

标签: django reactjs django-rest-framework

我将Django与React一起使用,我实现了一种当用户忘记密码时重置用户密码的方法。我的基本想法是:

1)用户提供其电子邮件地址

2)向他们的电子邮件地址发送电子邮件,并带有链接以重置其密码(使用SendGrid api)

3)用户输入新密码以重置密码

下面是我的序列化器,视图,URL和React代码

//views.py
class PasswordResetConfirmSerializer(serializers.Serializer):
    new_password1 = serializers.CharField(max_length=128)
    new_password2 = serializers.CharField(max_length=128)
    uid = serializers.CharField()
    token = serializers.CharField()

    set_password_form_class = SetPasswordForm
    def custom_validation(self, attrs):
        pass
    def validate(self, attrs):
        self._errors = {}
        try:
            self.user = UserModel._default_manager.get(pk=attrs['uid'])
        except (TypeError, ValueError, OverflowError, UserModel.DoesNotExist):
            raise ValidationError({'uid': ['Invalid value']})
        self.custom_validation(attrs)
        self.set_password_form = self.set_password_form_class(
            user=self.user, data=attrs
        )
        if not self.set_password_form.is_valid():
            raise serializers.ValidationError(self.set_password_form.errors)
        return attrs
    def save(self):
        return self.set_password_form.save()

// serializers.py
class PasswordResetConfirmView(GenericAPIView):
    serializer_class = PasswordResetConfirmSerializer
    permission_classes = (AllowAny,)

    @sensitive_post_parameters_m
    def dispatch(self, *args, **kwargs):
        return super(PasswordResetConfirmView, self).dispatch(*args, **kwargs)

    def post(self, request, *args, **kwargs):
        serializer = self.get_serializer(data=request.data)
        serializer.is_valid(raise_exception=True)
        serializer.save()
        return Response(
            {"detail": ("Password has been reset with the new password.")}
       )

//urls.py
path('api/passwordreset/confirm/',views.PasswordResetConfirmView.as_view(), name = 'password_reset_confirm')

// React 
    const config = {
    headers: {
      "Content-Type": "application/json"
      }
    };

    const body = JSON.stringify({ 
        new_password1: this.state.new_password,
        new_password2: this.state.confirm_password,
        uid: this.state.fetched_data.pk,
        token: this.state.fetched_data.token
    })

    axios.post(API_URL + 'users/api/passwordreset/confirm/', body, config)

我的重置密码功能本身可以正常工作。但是我在这里遇到的主要问题是,重置密码API需要“ uid”和“ token”。为了获得这两个值,用户必须先登录(由于他们忘记了密码,这没有意义),或者调用api来获取“ uid”和“ token”。我尝试了以下方法来获取这两个值:

// views.py
class CustomObtainAuthToken(ObtainAuthToken):
    def post(self, request, *args, **kwargs):
        response = super(CustomObtainAuthToken, self).post(request, *args, **kwargs)
        token = Token.objects.get(key=response.data['token'])
        return Response({'token': token.key, 'id': token.user_id})

// urls.py
path('api/authenticate/', CustomObtainAuthToken.as_view())

// React 
const body = { 
    password: 'mike',
    username: 'Abcd1234'
  }

  await axios.post(API_URL + 'users/api/authenticate/', body)

该函数的确返回正确的“ uid”和“ token”,但是问题是我从用户那里得到的唯一东西就是电子邮件地址。我也无法获取密码和用户名来调用此API。所以我不太确定该怎么做。

有人可以告诉我正确的方法来完成这项工作吗?非常感谢。

1 个答案:

答案 0 :(得分:0)

首先,您可以从请求密码重设流程的用户电子邮件中获取uid。其次,此令牌与您的身份验证用户的令牌不同。此令牌can be generated with django's default_token_generator

这是通常的流程:

  1. 用户提供email
  2. 前端匹配是一个带有/api/password_reset/的API(即email
  3. a)API确定useremail的{​​{1}}
    b)为此uid生成一个token
    c)发送带有网址的电子邮件。该网址必须包含useruid作为其一部分(例如token
  4. 用户单击此链接,它在前端显示一个页面,要求输入新的https://example.com/password-reset-confirm/<uid>/<token>此处注意:此URL包含一个uid和一个令牌,稍后将使用)
  5. 用户提供了一个新的password
  6. 前端使用新提供的密码以及password/api/password_reset_confirm/(属于URL的一部分)进行API调用(即uid
  7. API接收tokenuid和新的token
    a)检查passworduid是否有效(即token与先前为该token的同一user生成的匹配)< br /> b)设置该uid的{​​{1}}的新密码
    c)(可选)它可以将该用户注销到系统之外

由于您正在使用DRF,因此请看一下implementation of an authentication library named Djoser。这可能是一个很好的学习经验。

相关问题
最新问题