基于Django的博客系统之登录增加忘记密码(八)

需求

  • 描述: 用户忘记密码时,提供一种重置密码的方法,以便重新获得账户访问权限。
  • 规划:
    • 创建一个包含邮箱输入字段的表单,用于接收用户的重置密码请求。
    • 用户输入注册时使用的邮箱地址,系统发送包含重置密码链接的邮件到用户邮箱。
    • 邮件中包含一个链接,用户点击链接后跳转到重置密码页面,可以设置一个新的密码。

技术难点

1. 邮件发送配置

难点

  • 配置邮件服务器(SMTP)。
  • 确保邮件服务器设置安全可靠,避免出现发送失败或被垃圾邮件拦截。

解决方案

  • settings.py 中正确配置邮件发送相关设置,如 EMAIL_BACKENDEMAIL_HOSTEMAIL_PORTEMAIL_USE_TLSEMAIL_HOST_USEREMAIL_HOST_PASSWORD 等。
  • 选择合适的邮件服务提供商,如 Gmail、SendGrid、Amazon SES 等,并确保你遵守其安全策略和最佳实践。
2. 表单验证与安全

难点

  • 确保输入的邮箱地址有效,并且关联到一个已存在的用户。
  • 防止恶意用户频繁请求重置密码,可能导致的DDoS攻击。

解决方案

  • 使用 Django 的表单验证机制,确保输入的邮箱格式正确。
  • 对重置密码请求进行速率限制(例如,通过 django-ratelimit 库),防止滥用。
3. 生成安全的密码重置令牌

难点

  • 生成唯一且安全的令牌,用于识别用户并防止恶意篡改。
  • 确保令牌具有时效性,防止过期令牌被利用。

解决方案

  • 使用 Django 内置的 default_token_generator,它已经实现了安全的令牌生成和验证机制。
  • 配置令牌的有效期,确保在合理的时间内进行密码重置操作。
4. URL 编码和解码

难点

  • 在生成密码重置链接时,需要对用户的ID进行编码,确保URL安全性。
  • 在用户点击重置链接时,需要正确解码并验证用户身份。

解决方案

  • 使用 urlsafe_base64_encodeurlsafe_base64_decode 进行安全的编码和解码。
  • 在重置视图中检查令牌的有效性和用户的存在性。
5. 前端模板和用户体验

难点

  • 设计友好且易用的前端页面,确保用户能够轻松地完成密码重置操作。
  • 提示用户在不同步骤中所需的信息,例如,邮件发送成功提示、密码重置成功提示等。

解决方案

  • 使用 Django 模板语言(Django Template Language, DTL)创建清晰简洁的前端页面。
  • 提供用户友好的错误提示和成功提示,增强用户体验。
6. 用户密码重置表单的安全性

难点

  • 确保密码重置表单的安全性,防止CSRF攻击。
  • 在重置密码时,对新密码进行强度验证,确保密码安全。

解决方案

  • 使用 Django 的 CSRF 保护机制,在表单中添加 {% csrf_token %}
  • 使用 Django 自带的 SetPasswordForm,它会对新密码进行强度验证。
总结

尽管实现忘记密码功能涉及多个技术难点,但通过 Django 提供的内置功能和第三方库,可以较为顺利地解决这些问题。关键在于确保每一步的安全性和用户体验,避免潜在的安全漏洞和用户困扰。

技术实现步骤详细说明

1. 用户请求密码重置

用户在登录页面点击"忘记密码"链接,进入请求密码重置页面。

2. 用户填写邮箱并提交表单

用户在请求密码重置页面输入注册时使用的邮箱地址并提交表单。

3. 验证邮箱是否存在于数据库

系统接收到表单提交请求,检查数据库中是否存在该邮箱地址对应的用户。

4. 生成密码重置令牌和UID

如果邮箱地址有效,系统生成密码重置令牌和UID,用于唯一标识用户和验证请求的有效性。

5. 发送包含重置链接的电子邮件

系统通过配置好的邮件服务器,向用户发送包含密码重置链接的电子邮件。链接中包含UID和令牌。

6. 用户点击重置链接,进入重置页面

用户收到电子邮件,点击邮件中的重置链接,进入密码重置页面。

7. 验证令牌和UID是否有效

系统接收到用户点击链接的请求,验证链接中的UID和令牌是否有效,如果无效则提示错误信息。

8. 用户填写新密码并提交表单

用户在密码重置页面输入新密码并提交表单。

9. 验证新密码并更新用户密码

系统接收到表单提交请求,验证新密码的有效性,并更新数据库中用户的密码。

10. 密码重置成功,提示用户登录

密码更新成功后,系统提示用户密码已重置成功,用户可以使用新密码登录。

忘记密码功能技术实现流程图

plaintext 复制代码
+--------------------------+
|      用户请求密码重置       |
+--------------------------+
             |
             v
+--------------------------+
| 用户填写邮箱并提交表单      |
+--------------------------+
             |
             v
+--------------------------+
|   验证邮箱是否存在于数据库    |
+--------------------------+
             |
             v
+--------------------------+
| 生成密码重置令牌和UID       |
+--------------------------+
             |
             v
+--------------------------+
| 发送包含重置链接的电子邮件    |
+--------------------------+
             |
             v
+--------------------------+
| 用户点击重置链接,进入重置页面 |
+--------------------------+
             |
             v
+--------------------------+
|   验证令牌和UID是否有效     |
+--------------------------+
             |
             v
+--------------------------+
| 用户填写新密码并提交表单      |
+--------------------------+
             |
             v
+--------------------------+
|   验证新密码并更新用户密码    |
+--------------------------+
             |
             v
+--------------------------+
|   密码重置成功,提示用户登录   |
+--------------------------+

实现步骤

步骤 1: 配置邮件发送

首先,确保你在 settings.py 中配置了邮件发送功能,以QQ为例,根据这个文档设置smtp:

python 复制代码
# Email settings
EMAIL_BACKEND = 'django.core.mail.backends.smtp.EmailBackend'
EMAIL_HOST = 'smtp.qq.com'
EMAIL_PORT = 587
EMAIL_USE_TLS = True
EMAIL_HOST_USER = 'your-email@example.com'
EMAIL_HOST_PASSWORD = '授权码'
DEFAULT_FROM_EMAIL = 'your-email@example.com'

确保你的email开通了SMTP功能,获得授权码,如下:

成功开启SMTP服务后,邮件设置页面如下:

步骤 2: 创建密码重置表单

创建一个表单用于输入用户的邮箱地址:

python 复制代码
from django import forms

class PasswordResetRequestForm(forms.Form):
    email = forms.EmailField(label="Enter your email", max_length=254)

步骤 3: 创建视图

创建两个视图,一个用于请求密码重置链接,另一个用于实际重置密码。

python 复制代码
from django.contrib.auth.tokens import default_token_generator
from django.contrib.auth.models import User
from django.template.loader import render_to_string
from django.utils.http import urlsafe_base64_encode, urlsafe_base64_decode
from django.utils.encoding import force_bytes
from django.contrib.sites.shortcuts import get_current_site
from django.core.mail import send_mail
from django.shortcuts import render, redirect
from django.urls import reverse
from .forms import PasswordResetRequestForm
from django.contrib.auth.forms import SetPasswordForm

class PasswordResetRequestView(View):
    def get(self, request):
        form = PasswordResetRequestForm()
        return render(request, 'password_reset_request.html', {'form': form})

    def post(self, request):
        form = PasswordResetRequestForm(request.POST)
        if form.is_valid():
            email = form.cleaned_data['email']
            user = User.objects.filter(email=email).first()
            if user:
                token = default_token_generator.make_token(user)
                uid = urlsafe_base64_encode(force_bytes(user.pk))
                site = get_current_site(request)
                link = request.build_absolute_uri(
                    reverse('password_reset_confirm', kwargs={'uidb64': uid, 'token': token})
                )
                mail_subject = 'Reset your password'
                message = render_to_string('password_reset_email.html', {
                    'user': user,
                    'domain': site.domain,
                    'uid': uid,
                    'token': token,
                    'link': link,
                })
                send_mail(mail_subject, message, 'your-email@example.com', [email])
                return redirect('password_reset_done')
        return render(request, 'password_reset_request.html', {'form': form})

class PasswordResetConfirmView(View):
    def get(self, request, uidb64=None, token=None):
        uid = urlsafe_base64_decode(uidb64).decode()
        user = User.objects.get(pk=uid)
        if default_token_generator.check_token(user, token):
            form = SetPasswordForm(user)
            return render(request, 'password_reset_confirm.html', {'form': form, 'user': user})
        else:
            return HttpResponse('Token is invalid!')

    def post(self, request, uidb64=None, token=None):
        uid = urlsafe_base64_decode(uidb64).decode()
        user = User.objects.get(pk=uid)
        form = SetPasswordForm(user, request.POST)
        if form.is_valid():
            form.save()
            return redirect('password_reset_complete')
        return render(request, 'password_reset_confirm.html', {'form': form})

步骤 4: 创建模板

password_reset_request.html
html 复制代码
{% load static %}
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>请求密码重置</title>
    <link rel="stylesheet" href="{% static 'blog/css/post_list.css' %}">
</head>
<body>
    <h2>请求密码重置</h2>
    <form method="post">
        {% csrf_token %}
        {{ form.as_p }}
        <button type="submit">发送密码重置链接</button>
    </form>
</body>
</html>
password_reset_email.html
html 复制代码
<p>Hi {{ user.username }},</p>
<p>点击下面的链接重置你的密码:</p>
<p><a href="{{ link }}">{{ link }}</a></p>
password_reset_confirm.html
html 复制代码
{% load static %}
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>重置密码</title>
    <link rel="stylesheet" href="{% static 'blog/css/post_list.css' %}">
</head>
<body>
    <h2>重置密码</h2>
    <form method="post">
        {% csrf_token %}
        {{ form.as_p }}
        <button type="submit">重置密码</button>
    </form>
</body>
</html>

步骤 5: 配置 URL

urls.py 文件中添加相应的 URL 路径:

python 复制代码
from django.urls import path
from .views import PasswordResetRequestView, PasswordResetConfirmView

urlpatterns = [
    path('password_reset/', PasswordResetRequestView.as_view(), name='password_reset_request'),
    path('password_reset/done/', TemplateView.as_view(template_name='password_reset_done.html'), name='password_reset_done'),
    path('reset/<uidb64>/<token>/', PasswordResetConfirmView.as_view(), name='password_reset_confirm'),
    path('reset/done/', TemplateView.as_view(template_name='password_reset_complete.html'), name='password_reset_complete'),
]

步骤 6: 测试

  1. 运行开发服务器

    bash 复制代码
    python manage.py runserver
  2. 访问密码重置页面

    打开浏览器,访问 http://127.0.0.1:8000/password_reset/ 并测试密码重置功能。

通过这些步骤,你应该能够成功地在 Django 项目中实现忘记密码功能,包括请求密码重置链接、发送重置邮件、以及重置密码。

登录页面点击忘记密码。进入请求密码重置页面,如下:

输入email,发动密码重置链接到邮箱地址。发送成功,如下:

打开邮件箱能看到重置密码的邮件如下:

点击链接跳转到重置密码页面,如下:

如果长时间后点击操作,跳转到重置页面会报错如下:

重置密码成功,如下:

相关推荐
日里安1 小时前
8. 基于 Redis 实现限流
数据库·redis·缓存
EasyCVR1 小时前
ISUP协议视频平台EasyCVR视频设备轨迹回放平台智慧农业视频远程监控管理方案
服务器·网络·数据库·音视频
Elastic 中国社区官方博客1 小时前
使用真实 Elasticsearch 进行更快的集成测试
大数据·运维·服务器·数据库·elasticsearch·搜索引擎·集成测试
Amo Xiang2 小时前
Django 2024全栈开发指南(一):框架简介、环境搭建与项目结构
python·django
明月与玄武2 小时前
关于性能测试:数据库的 SQL 性能优化实战
数据库·sql·性能优化
Amo Xiang2 小时前
Django 2024全栈开发指南(二):Django项目配置详解
python·django
PGCCC3 小时前
【PGCCC】Postgresql 存储设计
数据库·postgresql
PcVue China5 小时前
PcVue + SQL Grid : 释放数据的无限潜力
大数据·服务器·数据库·sql·科技·安全·oracle
魔道不误砍柴功7 小时前
简单叙述 Spring Boot 启动过程
java·数据库·spring boot
锐策7 小时前
〔 MySQL 〕数据库基础
数据库·mysql