【Blog.Idp开源】支持在线密码找回

（一个做认证平台，必须会遇到的一个问题）

BCVP框架，是基于:

ASP.NETCore5.0+VUE.js+IdentityServer4等核心技术，实现的前后端分离与动态认证鉴权一体化平台。

01

密码找回

认证中心绕不开的话题

Architecture Design.

无论你是自己做开源项目，抑或是自己公司的项目，只要是一套完整的、闭环的、成型的框架，肯定会有授权认证，那也就肯定会有用户模块，登录部分必不可少，那找回密码也是与之相生的影子——有登录，肯定有找回。

在BCVP框架中，用到了IdentityServer4（下文统称Ids4）作为认证平台中心，丰富的API为我们管理认证、客户端、用户、资源、令牌等复杂逻辑提供了可能。开源这么久了，一直没有机会去处理密码找回这个需求，官方当然也提供了各种扩展方法，但是这些扩展都不是最重要的，那找回密码什么是最重要的呢？——答案就是服务器和客户端的通讯。

常见的密码找回很简单，要么发短信，要么发邮件，只有这样才能保证信息的安全和稳定性，但是我毕竟没有这些额外的付费服务。

当然还有其他的办法，就是使用类似对接QQ、微信、GitHub、Google这种第三方认证平台做个二次登录，来保证唯一性，把密码找回转嫁到第三方平台上，这种方案我个人感觉不太喜欢，既然自己已经做认证平台了，再对接一个认证平台，总感觉怪怪的。所以平时就通过Github上，提issue，我手动做的密码重置，就是文章开篇的那张图所示。

但是这样毕竟不是长久之计，肯定需要一种方案，既可以不使用第三方的通讯工具，更可以让用户自己来更新和找回密码，我思考了下，趁着周末在家没有很忙，好好的思考了下，采用密保问题的形式，来让用户自己在线更新或找回密码。同时也更新一波代码，让自己对代码和架构的感觉不要停下来。

本文所涵盖的技术都很简单，写的目的，就是想顺着思路，提供一种框架设计的思想。

02

新注册增加密保问题

手动输入，保证内容灵活可变

Create a new account.

还在之前的登录信息中，增加了两个密码问题，目前都是必填项。

在源代码中，因为用的ORM是EFCore，相关的迁移已经做好了，更新最新代码，然后执行update-database即可，当然，直接更新你的数据库也可：

（注意要指定上下文）

（在用户表中添加）

从这一版本开始，注册用户开始需要密保问题了，之前的肯定没有，所以之前的用户如果找密码，就还是用之前的issue里给我留言吧，当然，我下一版本会增加修改个人信息的功能，到时候之前没有设置密保的，可以增加上密保问题，为以后丢失密码做准备，这也是一种框架设计方案。

还这样注册完成后，我们就可以尝试下，找回密码好不好用？

PS: 这种方案以后，目前超级管理员就暂时不能修改别人的密码了，所以我先试水一段时间，尽量让用户自己重置密码，管理员还是不要轻易的重置用户密码了，后期有需要也可以再加上。

03

忘记？找回密码

Forgot your password?

首先在登录页面，点击密码重置

这里的重置包括两个场景：1、未登录的找回，2、登录状态的修改。

然后填写邮箱和之前填写的密保问题，考虑到之前的老用户，是没有设置密保的，所以这里是选填项，如果点击提交，会出现三种情况：

1、如果是管理员，或者是登录状态，可以更新操作；

2、如果未登录，但是有密保问题，也可以更新操作；

3、其他的，返回错误；

（登录输入自己邮箱，或未登录输入正确密保答案）

(未登录，也未输入密保问题)

(未登录，输入了密保，但是该邮箱下，密保不正确)

如果邮箱和密保问题都正确，那就可以得到更新密码的连接，更新自己的密码。

这样看起来我们已经完美的解决了重置密码的问题，但是却不是这样的，请继续往下看。

04

篡改他人的重置地址

增加参数戳

AccessCode.

因为这个重置密码的链接，每个人都能拿到，拿到后手动更改其中的参数，或者研究了规则，也可以故意修改别人的邮箱（比如知道了张三的uiserId和Email，就可以更新他的密码了），url是这样的：

https://ids.neters.club/account/reset-password?userId=4045&code=CfDJ8HGMaC81CCVNj8gqKOrlZ5tFOx03UOdLeRYDQA8ktHq6cojFCMVS85P6iy0LkRa1GmeV9QzXbzwmowy1NQHPUBfKYBEVmP7BSleaPZCQv%2BQGVFCRhfPPvvlcMVDuKfpvJbbKE%2B8LsHjn%2Fkm2A%2F2BrMM%2FzuZfypjHqlMD%2F%2BgAHwWQqwx9Eq77%2BFpEauVUE7D1Fw%3D%3D

这种肯定是不行的，所以需要对url进行加密，防止篡改，那我就又想了一下，增加了一个随机参数accessCode，把userId和Code进行md5加密，就算知道userId和Email，也无法知道code和accessCode。因为code是user对象转出来的，而且这个code也是有一定的有效期的，就比如下边这个链接的code是无效的，那更别提重置密码了，所以安全性是可以的。

https://ids.neters.club/account/reset-password?userId=4045&code=CfDJ8HGMaC81CCVNj8gqKOrlZ5tFOx03UOdLeRYDQA8ktHq6cojFCMVS85P6iy0LkRa1GmeV9QzXbzwmowy1NQHPUBfKYBEVmP7BSleaPZCQv%2BQGVFCRhfPPvvlcMVDuKfpvJbbKE%2B8LsHjn%2Fkm2A%2F2BrMM%2FzuZfypjHqlMD%2F%2BgAHwWQqwx9Eq77%2BFpEauVUE7D1Fw%3D%3D&accessCode=60F15185E53181B775809F9B24B8C5AE

这样url就保证不会被篡改，那更新的只能是当前userId，

// 防止篡改
var getAccessCode = MD5Helper.MD5Encrypt32(model.userId + model.Code);
if (getAccessCode != model.AccessCode)
{
    return RedirectToAction(nameof(AccessDenied), 
        new { errorMsg = "随机码已被篡改！密码重置失败！" });
}

并且是当前userId的Email，不能是其他人的Email：

var user = await _userManager.FindByEmailAsync(model.Email);
if (user == null)
{
    // Don't reveal that the user does not exist
    return RedirectToAction(nameof(ResetPasswordConfirmation));
}
else
{
    if (user.Id.ToString() != model.userId)
    {
        return RedirectToAction(nameof(AccessDenied), 
            new { errorMsg = "不能修改他人邮箱！密码重置失败！" });
    }
}

05

支持邮箱登录

更多策略

UserName & Email.

因很多小伙伴也反馈一个问题，就是老是记不得自己的登录名，倒是能记得自己的邮箱，所以本次也正好更新下登录方式，很简单：

_userManager.Users.FirstOrDefault(d => 
    (d.LoginName == model.Username || d.Email == model.Username) && !d.tdIsDelete);

好啦，本次认证中心更新完成啦，不借助任何第三方来实现在线找回密码已经完成。

如果有任何技术问题，欢迎下边留言吧👇。