W aktualnej wersji
Zakładając, że zweryfikowałeś żądanie zresetowania zapomnianego hasła, użyj poniższego kodu jako przykładowych kroków kodu.
ApplicationDbContext =new ApplicationDbContext()
String userId = "<YourLogicAssignsRequestedUserId>";
String newPassword = "<PasswordAsTypedByUser>";
ApplicationUser cUser = UserManager.FindById(userId);
String hashedNewPassword = UserManager.PasswordHasher.HashPassword(newPassword);
UserStore<ApplicationUser> store = new UserStore<ApplicationUser>();
store.SetPasswordHashAsync(cUser, hashedNewPassword);
W AspNet Nightly Build
Struktura została zaktualizowana do współpracy z tokenem do obsługi żądań, takich jak ForgetPassword. Po wydaniu oczekuje się prostych wskazówek dotyczących kodu.
Aktualizacja:
Ta aktualizacja ma na celu zapewnienie bardziej przejrzystych kroków.
ApplicationDbContext context = new ApplicationDbContext();
UserStore<ApplicationUser> store = new UserStore<ApplicationUser>(context);
UserManager<ApplicationUser> UserManager = new UserManager<ApplicationUser>(store);
String userId = User.Identity.GetUserId();//"<YourLogicAssignsRequestedUserId>";
String newPassword = "test@123"; //"<PasswordAsTypedByUser>";
String hashedNewPassword = UserManager.PasswordHasher.HashPassword(newPassword);
ApplicationUser cUser = await store.FindByIdAsync(userId);
await store.SetPasswordHashAsync(cUser, hashedNewPassword);
await store.UpdateAsync(cUser);
Jeśli chcesz zmienić hasło za pomocą UserManager, ale nie chcesz podawać aktualnego hasła użytkownika, możesz wygenerować token resetowania hasła, a następnie natychmiast go użyć.
string resetToken = await UserManager.GeneratePasswordResetTokenAsync(model.Id); IdentityResult passwordChangeResult = await UserManager.ResetPasswordAsync(model.Id, resetToken, model.NewPassword);
źródło
SecurityStamp
dla użytkownika nie ma wartości NULL. Może się to zdarzyć w przypadku użytkowników migrowanych z innych baz danych lub użytkowników, którzy nie zostali utworzeni za pomocąUserManager.CreateAsync()
metody.Przestarzałe
To była oryginalna odpowiedź. Działa, ale ma problem. A jeśli
AddPassword
zawiedzie? Użytkownik pozostaje bez hasła.Oryginalna odpowiedź: możemy użyć trzech linii kodu:
UserManager<IdentityUser> userManager = new UserManager<IdentityUser>(new UserStore<IdentityUser>()); userManager.RemovePassword(userId); userManager.AddPassword(userId, newPassword);
Zobacz też: http://msdn.microsoft.com/en-us/library/dn457095(v=vs.111).aspx
Teraz zalecane
Prawdopodobnie lepiej jest użyć odpowiedzi, którą zaproponował EdwardBrey, a następnie DanielWright później opracował przykładowy kod.
źródło
Na swoje
UserManager
pierwsze zadzwonić GeneratePasswordResetTokenAsync . Gdy użytkownik zweryfikuje swoją tożsamość (na przykład otrzymując token w wiadomości e-mail), przekaż token do ResetPasswordAsync .źródło
ResetPasswordAsync
pobierania identyfikatora użytkownika jest to, że dostawca tożsamości musi tylko indeksować identyfikatory użytkowników, a nie także tokeny. Pozwala to na lepsze skalowanie, jeśli jest wielu użytkowników.string message = null; //reset the password var result = await IdentityManager.Passwords.ResetPasswordAsync(model.Token, model.Password); if (result.Success) { message = "The password has been reset."; return RedirectToAction("PasswordResetCompleted", new { message = message }); } else { AddErrors(result); }
Ten fragment kodu jest pobierany z projektu AspNetIdentitySample dostępnego na github
źródło
Utwórz metodę w
UserManager<TUser, TKey>
public Task<IdentityResult> ChangePassword(int userId, string newPassword) { var user = Users.FirstOrDefault(u => u.Id == userId); if (user == null) return new Task<IdentityResult>(() => IdentityResult.Failed()); var store = Store as IUserPasswordStore<User, int>; return base.UpdatePassword(store, user, newPassword); }
źródło
Najlepszy sposób na resetowanie hasła w użyciu tożsamości Asp.Net Core dla interfejsu API sieci Web.
Uwaga * : Error () i Result () są tworzone do użytku wewnętrznego. Możesz wrócić, jak chcesz.
[HttpPost] [Route("reset-password")] public async Task<IActionResult> ResetPassword(ResetPasswordModel model) { if (!ModelState.IsValid) return BadRequest(ModelState); try { if (model is null) return Error("No data found!"); var user = await _userManager.FindByIdAsync(AppCommon.ToString(GetUserId())); if (user == null) return Error("No user found!"); Microsoft.AspNetCore.Identity.SignInResult checkOldPassword = await _signInManager.PasswordSignInAsync(user.UserName, model.OldPassword, false, false); if (!checkOldPassword.Succeeded) return Error("Old password does not matched."); string resetToken = await _userManager.GeneratePasswordResetTokenAsync(user); if (string.IsNullOrEmpty(resetToken)) return Error("Error while generating reset token."); var result = await _userManager.ResetPasswordAsync(user, resetToken, model.Password); if (result.Succeeded) return Result(); else return Error(); } catch (Exception ex) { return Error(ex); } }
źródło
W przypadku resetowania hasła zaleca się zresetowanie go poprzez wysłanie tokena resetowania hasła na adres e-mail zarejestrowanego użytkownika i poproszenie użytkownika o podanie nowego hasła. Jeśli utworzyłeś łatwą w użyciu bibliotekę .NET na platformie Identity z domyślnymi ustawieniami konfiguracji. Szczegóły można znaleźć pod linkiem do bloga i kodem źródłowym na github.
źródło
Myślę, że przewodnik firmy Microsoft dotyczący ASP.NET Identity to dobry początek.
https://docs.microsoft.com/en-us/aspnet/identity/overview/features-api/account-confirmation-and-password-recovery-with-aspnet-identity
Uwaga:
Jeśli nie używasz narzędzia AccountController i nie chcesz zresetować hasła, użyj
Request.GetOwinContext().GetUserManager<ApplicationUserManager>();
. Jeśli nie masz tego samego OwinContext, musisz utworzyć nowy,DataProtectorTokenProvider
taki jak ten, któregoOwinContext
używa. Domyślnie spójrz naApp_Start -> IdentityConfig.cs
. Powinien wyglądać jaknew DataProtectorTokenProvider<ApplicationUser>(dataProtectionProvider.Create("ASP.NET Identity"));
.Można stworzyć w ten sposób:
Bez Owin:
[HttpGet] [AllowAnonymous] [Route("testReset")] public IHttpActionResult TestReset() { var db = new ApplicationDbContext(); var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db)); var provider = new DpapiDataProtectionProvider("SampleAppName"); manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>( provider.Create("SampleTokenName")); var email = "[email protected]"; var user = new ApplicationUser() { UserName = email, Email = email }; var identityUser = manager.FindByEmail(email); if (identityUser == null) { manager.Create(user); identityUser = manager.FindByEmail(email); } var token = manager.GeneratePasswordResetToken(identityUser.Id); return Ok(HttpUtility.UrlEncode(token)); } [HttpGet] [AllowAnonymous] [Route("testReset")] public IHttpActionResult TestReset(string token) { var db = new ApplicationDbContext(); var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db)); var provider = new DpapiDataProtectionProvider("SampleAppName"); manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>( provider.Create("SampleTokenName")); var email = "[email protected]"; var identityUser = manager.FindByEmail(email); var valid = Task.Run(() => manager.UserTokenProvider.ValidateAsync("ResetPassword", token, manager, identityUser)).Result; var result = manager.ResetPassword(identityUser.Id, token, "TestingTest1!"); return Ok(result); }
Z Owinem:
[HttpGet] [AllowAnonymous] [Route("testResetWithOwin")] public IHttpActionResult TestResetWithOwin() { var manager = Request.GetOwinContext().GetUserManager<ApplicationUserManager>(); var email = "[email protected]"; var user = new ApplicationUser() { UserName = email, Email = email }; var identityUser = manager.FindByEmail(email); if (identityUser == null) { manager.Create(user); identityUser = manager.FindByEmail(email); } var token = manager.GeneratePasswordResetToken(identityUser.Id); return Ok(HttpUtility.UrlEncode(token)); } [HttpGet] [AllowAnonymous] [Route("testResetWithOwin")] public IHttpActionResult TestResetWithOwin(string token) { var manager = Request.GetOwinContext().GetUserManager<ApplicationUserManager>(); var email = "[email protected]"; var identityUser = manager.FindByEmail(email); var valid = Task.Run(() => manager.UserTokenProvider.ValidateAsync("ResetPassword", token, manager, identityUser)).Result; var result = manager.ResetPassword(identityUser.Id, token, "TestingTest1!"); return Ok(result); }
Aby resetowanie hasła działało, należy utworzyć
DpapiDataProtectionProvider
iDataProtectorTokenProvider
musi mieć tę samą nazwę. Używanie Owin do tworzenia tokena resetowania hasła, a następnie tworzenie nowegoDpapiDataProtectionProvider
o innej nazwie nie zadziała.Kod, którego używam dla ASP.NET Identity:
Web.Config:
<add key="AllowedHosts" value="example.com,example2.com" />
AccountController.cs:
[Route("RequestResetPasswordToken/{email}/")] [HttpGet] [AllowAnonymous] public async Task<IHttpActionResult> GetResetPasswordToken([FromUri]string email) { if (!ModelState.IsValid) return BadRequest(ModelState); var user = await UserManager.FindByEmailAsync(email); if (user == null) { Logger.Warn("Password reset token requested for non existing email"); // Don't reveal that the user does not exist return NoContent(); } //Prevent Host Header Attack -> Password Reset Poisoning. //If the IIS has a binding to accept connections on 80/443 the host parameter can be changed. //See https://security.stackexchange.com/a/170759/67046 if (!ConfigurationManager.AppSettings["AllowedHosts"].Split(',').Contains(Request.RequestUri.Host)) { Logger.Warn($"Non allowed host detected for password reset {Request.RequestUri.Scheme}://{Request.Headers.Host}"); return BadRequest(); } Logger.Info("Creating password reset token for user id {0}", user.Id); var host = $"{Request.RequestUri.Scheme}://{Request.Headers.Host}"; var token = await UserManager.GeneratePasswordResetTokenAsync(user.Id); var callbackUrl = $"{host}/resetPassword/{HttpContext.Current.Server.UrlEncode(user.Email)}/{HttpContext.Current.Server.UrlEncode(token)}"; var subject = "Client - Password reset."; var body = "<html><body>" + "<h2>Password reset</h2>" + $"<p>Hi {user.FullName}, <a href=\"{callbackUrl}\"> please click this link to reset your password </a></p>" + "</body></html>"; var message = new IdentityMessage { Body = body, Destination = user.Email, Subject = subject }; await UserManager.EmailService.SendAsync(message); return NoContent(); } [HttpPost] [Route("ResetPassword/")] [AllowAnonymous] public async Task<IHttpActionResult> ResetPasswordAsync(ResetPasswordRequestModel model) { if (!ModelState.IsValid) return NoContent(); var user = await UserManager.FindByEmailAsync(model.Email); if (user == null) { Logger.Warn("Reset password request for non existing email"); return NoContent(); } if (!await UserManager.UserTokenProvider.ValidateAsync("ResetPassword", model.Token, UserManager, user)) { Logger.Warn("Reset password requested with wrong token"); return NoContent(); } var result = await UserManager.ResetPasswordAsync(user.Id, model.Token, model.NewPassword); if (result.Succeeded) { Logger.Info("Creating password reset token for user id {0}", user.Id); const string subject = "Client - Password reset success."; var body = "<html><body>" + "<h1>Your password for Client was reset</h1>" + $"<p>Hi {user.FullName}!</p>" + "<p>Your password for Client was reset. Please inform us if you did not request this change.</p>" + "</body></html>"; var message = new IdentityMessage { Body = body, Destination = user.Email, Subject = subject }; await UserManager.EmailService.SendAsync(message); } return NoContent(); } public class ResetPasswordRequestModel { [Required] [Display(Name = "Token")] public string Token { get; set; } [Required] [Display(Name = "Email")] public string Email { get; set; } [Required] [StringLength(100, ErrorMessage = "The {0} must be at least {2} characters long.", MinimumLength = 10)] [DataType(DataType.Password)] [Display(Name = "New password")] public string NewPassword { get; set; } [DataType(DataType.Password)] [Display(Name = "Confirm new password")] [Compare("NewPassword", ErrorMessage = "The new password and confirmation password do not match.")] public string ConfirmPassword { get; set; } }
źródło
Zrobiłem małe dochodzenie i rozwiązaniem, które działa dla mnie, było połączenie kilku rozwiązań przedstawionych w tym poście.
Zasadniczo kompiluję to rozwiązanie i publikuję, co działa dla mnie. W moim przypadku nie chcę używać żadnego tokena z .net core.
public async Task ResetPassword(string userId, string password) { var user = await _userManager.FindByIdAsync(userId); var hashPassword= _userManager.PasswordHasher.HashPassword(user, password); user.PasswordHash = passwordHash; await _userManager.UpdateAsync(user); }
źródło