开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

无法公开电子邮件中引用的公共页面，以允许用户在Vue JS、Node JS和Mongo db网站结构中重置其密码

对于无法公开电子邮件中引用的公共页面，以允许用户在Vue JS、Node JS和MongoDB网站结构中重置其密码，可以采取以下步骤：

创建重置密码页面：使用Vue JS框架创建一个重置密码的页面，该页面包含一个表单用于用户输入新密码和确认密码。
前端验证：在Vue JS中，使用表单验证库（如VeeValidate）对用户输入的新密码和确认密码进行前端验证，确保密码符合要求（如长度、复杂度等）并且两次输入一致。
后端逻辑：使用Node JS作为后端服务器，创建一个API端点来处理重置密码的请求。在该端点中，需要进行以下操作：
- 验证重置密码请求的有效性，例如检查重置密码的令牌是否有效、是否过期等。
- 更新用户的密码：使用MongoDB数据库查询用户并更新其密码字段为新密码。

数据库操作：使用MongoDB作为数据库存储用户信息。在用户注册或更改密码时，将用户的密码进行哈希处理后存储在数据库中，以确保安全性。
安全性考虑：为了增强安全性，可以采取以下措施：
- 重置密码链接的有效期限制：在生成重置密码链接时，设置一个有效期限制，过期后链接将失效。
- 重置密码链接的加密：可以使用加密算法对重置密码链接进行加密，以防止链接被篡改或恶意使用。
推荐的腾讯云相关产品和产品介绍链接地址：
- 腾讯云服务器（CVM）：提供可扩展的云服务器实例，用于部署Node JS应用程序。链接：https://cloud.tencent.com/product/cvm
- 腾讯云数据库MongoDB版（TencentDB for MongoDB）：提供高性能、可扩展的MongoDB数据库服务。链接：https://cloud.tencent.com/product/mongodb

请注意，以上答案仅供参考，具体实现方式可能因项目需求和技术选型而有所不同。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

关于 Node.js 的认证方面的教程（很可能）是有误的

原文地址：Your Node.js authentication tutorial is (probably) wrong 我搜索了大量关于 Node.js/Express.js 认证的教程。所有这些都是不完整的，甚至以某种方式造成安全错误，可能会伤害新用户。当其他教程不再帮助你时，你或许可以看看这篇文章，这篇文章探讨了如何避免一些常见的身份验证陷阱。同时我也一直在 Node/Express 中寻找强大的、一体化的解决方案，来与 Rails 的 devise 竞争。更新 (8.7): 在他们的教程中，R

09

Web Security 之 HTTP Host header attacks

在本节中，我们将讨论错误的配置和有缺陷的业务逻辑如何通过 HTTP Host 头使网站遭受各种攻击。我们将概述识别易受 HTTP Host 头攻击的网站的高级方法，并演示如何利用此方法。最后，我们将提供一些有关如何保护自己网站的一般建议。

02

数据安全：1.98亿购车者的购车记录公之于众

摘要：9月11日，Dealer Leads旗下的Elastica DB披露了“研究”网站收集的大量潜在购车者的信息。超过1.98亿份包含潜在购车者信息的记录被发现暴露在互联网上，这些记录包括贷款和金融数据、车辆信息以及网站访问者的IP地址。

01

110-Django开发社交聊天网站

01

2022 年10个优质的 Node.js CMS 平台分享

内容管理系统 (「CMS」) 使没有强大技术背景的人也能够轻松发布内容。我们可以使用「CMS」来管理我们的内容和交付。市面上有不同类型的「CMS」，它们执行不同的目的并具有不同的功能。

02

WordPress 如何重置密码

在本文中，我们将讨论两种在您忘记 WordPress 网站密码时让您重新登录 WordPress 网站的方法。

05

一文带你了解Npm Module

包SEO：可以加一个 description ，别人可以在npm 网站更好的查找你的npm Module

01

零点击帐户接管的故事

初始侦察：像往常一样，我从子域发现开始并开始探索它。我对这个目标更感兴趣，因为范围是一个通配符：*.target.com。在我的子域扫描过程中，我没有遇到任何不寻常或有趣的子域。这就是我开始寻找主

00

带你认识 flask 邮件发送

就实际的邮件发送而言，Flask有一个名为Flask-Mail的流行插件，可以使任务变得非常简单。和往常一样，该插件是用pip安装的：

02

挖洞经验 | 利用密码重置功能实现账号劫持

最近，我参加了某平台邀请的漏洞测试项目，在其中发现了一个独特的账号劫持漏洞，整个漏洞发现过程非常意外也非常幸运，通过密码重置功能就能实现账号劫持，在此我就把它写成 writeup 分享出来。由于测试项目的保密和隐私原则，抱歉截图太少，且下文中涉及的网站域名部分我已作了编辑隐藏，敬请见谅。

02

OSINT 之信息收集上

Whois 可以用于查找管理员联系人相关的电子邮件地址，得到电子邮件之后可以通过 HaveIBeenPwned:

04

CheckPoint旗下安全公司ZoneAlarm论坛数据泄露

以色列网络安全公司Check Point旗下的互联网安全软件公司ZoneAlarm遭遇数据泄露，泄露了近4500名论坛用户数据。

00

【火绒安全周报】公共卫生局数据泄露影响数万人/ADM数据疑遭黑客窃取

近日，安全研究人员发现攻击者以韩国用户为目标，以破解程序、Windows激活工具、免费游戏服务器作为噱头在网站及博客上传播NiceRAT恶意软件感染用户设备，并将被感染的设备纳入其僵尸网络。据悉，NiceRAT是一个用Python编写的开源恶意软件，会引导用户自行关闭或删除安全软件，收集受害者的IP地址、计算机位置等信息，扫描已安装的浏览器和整个操作系统，寻找加密货币钱包中的密码短语等有价值的数据，然后通过Discord服务器将这些信息发送给攻击者。目前，由于NiceRAT经由用户分发后，已独立于最初的分发者，导致安全研究人员对于该恶意软件的初始检测和分析无限推迟。

01

部署企业内部聊天工具Rocket.Chat开源IM系统

主要功能：群组聊天，直接通信，私聊群，桌面通知，媒体嵌入，链接预览，文件上传，语音/视频聊天，截图等等。

02

十个最常见的 Web 网页安全漏洞之首篇

OWASP 或 Open Web Security Project 是一家非营利性慈善组织，致力于提高软件和 Web 应用程序的安全性。该组织根据来自各种安全组织的数据发布顶级 Web 安全漏洞列表。

05

区块链一键登录：MetaMask教程(One-click Login with Blockchain: A MetaMask Tutorial)

在线用户对传统电子邮件/密码注册流程的抵抗力日益增强。通过Facebook，Google或GitHub的一键式社交登录功能被证明是更理想的选择。然而，它存在一种权衡。

02

Paypal出现漏洞，可获取账户余额和近期交易数据

PayPal的bug允许通过逐一列举的方式获取付款方式的最后四位数字以及披露任何给定PayPal账户的账户余额和近期交易数据。介绍这篇文章详细介绍了一个问题，它允许列举付款方式的最后四位数字（例如

04

黑客声称窃取GitHub 500GB源代码，准备不出售直接泄露

“我们已经成功入侵微软的GitHub私人储存库，并从中窃取了500GB的数据，本来打算在暗网上出售的，现在改变主意了，打算免费发布。”

02

从零到部署：用 Vue 和 Express 实现迷你全栈电商应用（最终篇）

本篇我们将实现应用的部署，这篇教程将首先 Docker 来容器化你的应用，接着教你配置 MongoDB 的身份验证机制，给你的数据库添加一份安全守护，最后我们会带你使用阿里云的容器镜像服务将整个全栈应用部署到云端，使得你互联网上的用户可以访问你的网站，希望这篇教程能解决长期困扰你的部署上云的问题！

02

JavaScript 供应链为什么如此脆弱...

JavaScript 的强大之处在于其卓越的模块化能力，通过 npm 包管理机制，开发者可以轻易地引用并使用其他人或者组织已经编写好的开源代码，从而极大地加快了开发速度。但是，这种依赖关系的复杂性也给供应链的安全带来了巨大的挑战。

01

Recorded Future撞库攻击报告 | 泄露信息过亿，利润高达20倍

撞库攻击是如今最常见的攻击，给企业带来巨大威胁。撞库带来的威胁往往不是直接的，但是由此造成的信息泄露以及进一步的渗透与攻击会更为严重。Akamai的报告显示，2018年五月到十二月期间，共发生了约280亿次撞库攻击，其中零售网站是遭遇攻击最多的，累计超过100亿次。

05

分享 73 个让你事半功倍的 NPM 包

英文 | https://dev.to/madza/73-awesome-npm-packages-for-productivity-19p8

02

挖洞经验 | 看我如何发现Google的第三方应用服务漏洞

今年三月我参与了谷歌软件工程师的面试，没想到完全出于意外，我却发现了谷歌（Google）某个应用服务的漏洞，其也成为了我的第一个赏金漏洞。一切请听我细细道来。入围Google最终面试 Google在决定聘用某人之前，必须有两三关面试过程，最后一关是，他们会付费让入围应聘者到公司现场面试，我很荣幸，获得了最终现场面试资格。前期电话沟通中，招聘人员简单地向我提到，他们正在使用一种名为Concur的第三方差补费用系统来让应聘者进行机票预订，而我在喜爱的播客节目Freakonomics中，也能经常听到一些Conc

07

GitHub页面基本知识

官网地址：https://help.github.com/categories/github-pages-basics/

03

13个秘技，快速提升表单填写转化率！

我其实指的是网页注册表单。除了增加线索和提高转化率外，注册表单还可以帮助企业扩大邮件数据库，并更加了解那些对公司和产品感兴趣的人。注册表单只需要几分钟制作时间并且可以嵌入到网站的任何地方。

03

除了创造比特币，中本聪还教了我们如何保护账号安全

区块链时代最大的秘密，就是比特币之父中本聪。坐拥100万比特币（峰值时接近200亿美元）的中本聪，自从2011年离场后，竟再也没有动过这笔财富……这份淡然和从容，恐怕就是目前身价1376亿美元的 Jeff Bezos 都不容易做到。

02

在线检测你的密码是否被泄露

在互联网上，每天都有网站遭受黑客攻击，用户数据被窃取，这些数据通常包含用户名、密码（加密字段，甚至可能是明文）、电子邮件地址、IP地址等，用户的隐私安全将受到极大的威胁。

03

node-blog：用 node 搭建的个人开源博客

这个项目是为了学习 node 而建的，从前端到后端一手包办。相对来说，还是有一定难度的，适合有一定编程基础的人进阶学习。

01

我如何能够接管网站中的帐户与 Github 作为 SSO 提供商打交道

单点登录 (SSO) 是一种用户身份验证工具，使用户能够使用一组凭据安全地访问多个应用程序和服务。无论您的工作日依赖于 Slack、Asana、Google Workspace 还是 Zoom，SSO 都会为您提供一个弹出式小部件或登录页面，只需一个密码即可让您访问每个集成的应用程序。SSO 不是一天十二个密码，而是安全地确保您只需要一个。单点登录结束了记住和输入多个密码的日子，它消除了必须重置忘记密码的挫败感。用户还可以访问一系列平台和应用程序，而无需每次都登录。

02

一个 Vue + Node + MongoDB 博客系统

耗时半载（半个月）的大项目终于完成了。这是一个博客系统，使用 Vue 做前端框架，Node + express 做后端，数据库使用的是 MongoDB。实现了用户注册、用户登录、博客管理（文章的修改和删除）、文章编辑（Markdown）、标签分类等功能。

02

Marketbob - PHP多供应商数字模板软件市场

Marketbob 是一个功能强大的 PHP 脚本，旨在创建一个动态且多供应商的数字市场。此脚本提供了一个综合平台，作者可以在其中注册、上传和销售他们的数字产品，包括 WordPress 模板、插件、PHP 脚本、图形等。

01

骚操作！WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

WordPress主题供应商Pipdig被发现利用客户的服务器对竞争对手的网站发动DDoS攻击。安全研究人员jem分析了他们的代码后，找到了实锤进行了DDoS攻击的证据。

02

流媒体服务Spotify遭撞库攻击，近35万个账号受影响

得益于丰富的曲库、简洁的用户界面，Spotify 已经成为全球最受欢迎的音乐流媒体服务之一。不过伴随着用户规模的极速扩张，也暴露了一些安全风险隐患。近日受第三方数据库泄漏的影响，Spotify 公司不得不发出重置密码电子邮件，据悉有将近 35 万个账号受到影响。

05

为什么每个人都在谈论同构JavaScript 以及为什么它很重要

原文标题： Why Everyone is Talking About Isomorphic / Universal JavaScript and Why it Matters

01

8 款好用的 React Admin 管理后台模板推荐

常业务开发中，除了核心产品相关的工作之外，很大一部分工作量便是 Admin 管理后台的开发。因为在企业内无论哪种岗位都离不开与数据打交道，而数据库中的数据往往是不直观的，Excel 操作可能又过于简陋且容易出错，所以企业内会有形形色色的 Admin 管理后台服务各种业务场景。那么对于企业来说，一款能够快速上手并开发 Admin 管理后台的工具就显得尤为重要了。这篇文章中，码匠将向您介绍 8 款基于 React 的 Admin 后台模版，并针对不同使用场景提出建议。

05

Node.js连接远程mongodb并利用mongorestore远程恢复数据库

之前在mongodb搞了个免费的512MB的mongodb数据库，刚好今天要搭建一个nodejs项目需要的数据库是mongodb，项目里的数据库连接的是本地localhost，因为是第一次接触nodejs + mongodb，以为改个IP地址就可以了，没想到折腾了好久都没搞懂。然后Search了好多教程大多都是本地连接，最终还是找到了，连接好以后需要用mongorestore恢复数据，又遇到了一个坑，运行mongorestore命令需要安装mongo-tools工具才可以，然后又安装了mongo-tools，最终完美连接并导入。

02

【翻译】研究表明--保护公共AWS SSM文件的必要性

AWS系统管理器通过创建SSM文档在AWS资源上自动执行操作任务。以JSON或YAML创建的SSM文档包含AWS系统管理器将在云资产上执行的操作。默认情况下，SSM文档是私有的，但可以配置为与其他AWS账户共享或公开共享。AWS提供了共享SSM文档的最佳实践。

02

技嘉遭受勒索软件攻击、联邦调查局取缔了黑客组织 Revil｜全球网络安全热点

政府已经成功地破解了黑客组织雷维尔的勒索背后的实体，对企业软件供应商的攻击。联邦调查局、特勤局、网络司令部和其他国家的组织已共同努力，本月将该组织的业务下线。据报道，该组织的暗网博客暴露了从其目标收集的信息，但也处于离线状态。

04

Elasticsearch 再发数据泄露事件，包含 27 亿邮箱数据和10 亿明文密码，波及多家中国大厂用户数据！

就在不到一个月之前，安全人员 Bob Diachenko 和 Vinny Troia 发现了一个公开可访问的 Elasticsearch 服务器，其中包含 12 亿用户账户，该服务器被公开在暗网上。大部分泄露的原因都是 Elasticsearch 服务器没有设置密码保护。

02

单点登录SSO的身份账户不一致漏洞

由于良好的可用性和安全性，单点登录 (SSO) 已被广泛用于在线身份验证。但是，它也引入了单点故障，因为所有服务提供商都完全信任由 SSO 身份提供商创建的用户的身份。在本文中调查了身份帐户不一致威胁，这是一种新的 SSO 漏洞，可导致在线帐户遭到入侵。该漏洞的存在是因为当前的 SSO 系统高度依赖用户的电子邮件地址来绑定具有真实身份的帐户，而忽略了电子邮件地址可能被其他用户重复使用的事实在 SSO 身份验证下，这种不一致允许控制重复使用的电子邮件地址的攻击者在不知道任何凭据（如密码）的情况下接管关联的在线帐户。具体来说，首先对多个云电子邮件提供商的帐户管理策略进行了测量研究，展示了获取以前使用过的电子邮件帐户的可行性。进一步对 100 个使用 Google 商业电子邮件服务和自己的域地址的流行网站进行了系统研究，并证明大多数在线帐户都可以通过利用这种不一致漏洞而受到损害。为了阐明电子邮件在野外重复使用，分析了导致广泛存在的潜在电子邮件地址冲突的常用命名约定，并对美国大学的帐户政策进行了案例研究。最后，为终端用户、服务提供商和身份提供商提出了一些有用的做法，以防止这种身份帐户不一致的威胁。

03

CVE-2021-22911：Pre-Auth Blind NoSQL 注入导致 Rocket Chat 3.12.1 RCE

预认证盲 NoSQL 注入导致 Rocket Chat 3.12.1 中的远程代码执行

03

MongoDB基础

数据库即存储数据的仓库，可以将数据进行有序的分门别类的存储。它是独立于语言之外的软件，可以通过API去操作它。

02

旧金山国际机场遭网络攻击，黑客窃取Windows用户凭据

上周五，旧金山国际机场（SFO）披露了一起数据泄露事件，起因是其两个网站遭遇网络攻击，黑客窃取了用户的Windows登录凭据。目前，在有关数据泄露声明的通知中，SFO已经提醒相关用户修改Windows密码。

02

73个超棒且可提高生产力的 NPM 包

在这里，我整理了一些我最喜欢的 NPM 包的列表。我也将它们分类，因此信息更加结构化，更易于浏览。

02

npm缺少css-loader，/style-compiler，stylus-loader问题，npm没有权限无法全局更新问题

ERROR in ./node_modules/css-loader!./node_modules/vue-loader/lib/style-compiler?{“vue”:true,“id”:“

02

Git-简介、安装、创建账号

Git是一个分布式版本控制软件，最初由林纳斯·托瓦兹（Linus Torvalds）创作，于2005年以GPL发布。最初目的是为更好地管理Linux内核开发而设计。

02

GoDaddy 被黑：120 万客户数据泄露

网站托管巨头GoDaddy在今天发布的数据泄露通知中表示，一伙黑客获得了这家公司的Managed WordPress网站托管环境的访问权限后，多达120万客户的数据被泄露。 GoDaddy于上周三11月17日上发现了这起事件，但至少自2021年9月6日起，攻击者就在肆意访问其网络以及被入侵系统中所含的数据。 GoDaddy的首席信息安全官Demetrius Comes说：“我们在Managed WordPress网站托管环境中发现了可疑活动，随后立即在一家IT取证分析公司的帮助下开始调查，并已联系了执法部

02

做这 12 件简单的小事，能让你更安全地上网

勒索软件（Ransomware）攻击、身份盗窃，以及在线信用卡欺诈，这些都可能是具有毁灭性的，然而它们只是众多类型的恶意软件与网络攻击中的冰山一角。如果你从来没有成为破坏活动的受害者，那算你走运，但不要因此自鸣得意。

01

号称最安全的汽车品牌，Volvo被曝泄露大量用户信息

沃尔沃作为一家瑞典豪华汽车制造商，旗下拥有超过95,000名员工，每年能够销售近70万辆汽车。沃尔沃的客群基本上是一些有一定经济实力的客户，这对于一些犯罪分子来说无疑是块极具吸引力的“肥肉”。据网络新闻研究小组调查发现，巴西的沃尔沃汽车零售商Dimas Volvo在近一年时间里都在持续通过其网站泄露敏感文件，这些信息可能会被一些不怀好意的人拿来用于劫持官方通信渠道或者直接入侵公司的系统。美国数字安全调查媒体的相关人员联系了Dimas Volvo和负责沃尔沃总部数据保护的相关官员，了解到目前这个信息泄漏的

04

《HelloGitHub》第 93 期

这里有实战项目、入门教程、黑科技、开源书籍、大厂开源项目等，涵盖多种编程语言 Python、Java、Go、C/C++、Swift...让你在短时间内感受到开源的魅力，对编程产生兴趣！

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭