Rails 重新思考找回忘记密码解决方法

yue · 2015年04月09日 · 最后由 paicha 回复于 2018年03月11日 · 12241 次阅读
本帖已被管理员设置为精华贴

TL, DR: 本文简述如何用 JWT 来实现不需要数据库 columns 的找回忘记密码解决方法

前记: 虽然 Devise 提供了成熟的登陆认证,找回忘记密码的支持,但在纯 REST API 开发的情况下不适用。使用 cookie 和 session 不利于服务的拓展。

所以在最近的项目中,我们采用了 token-based authorization,运用了 JWT 这样一个小但是优雅的标准。 简单来说 JWT (JSON Web Token) 定义了高可靠的数字签名解决标准。它可以携带自定义用户信息,经过 base64 编码,hamc SHA256 加密生成 token, 然后通过 http authorization 请求头传递作为登陆凭证。

具体实现如下:

require gem 'jwt' in Gemfile

# 返回登陆认证令牌
class Api::V1::AuthTokenController < ApplicationController
  include Concerns::AuthTokenConcern

  def create
    @account = Account.authenticate(params[:email], params[:password])
    if @account && @account.is_activated
       # 验证成功,生成并返回登陆令牌
       @jwt = create_jwt(@account)
       respond_with @jwt, status: :created
     elsif @account && !@account.is_activated
       处理账户没激活
     else
       # 处理验证失败
     end
  end
end

# 生成认证令牌
module Concerns::AuthTokenConcern
  extend ActiveSupport::Concern
  included do
    携带用户的邮箱和令牌过期时间作为 token body
    def create_jwt(account)
      secret_key = account.password_salt 签发令牌的密钥
      payload = { email: account.email }
      expire_at = set_auth_token_expired_time
      payload.merge!("exp" => expire_at)
      payload.merge!({id: account.id, telephone: account.telephone })
      JWT.encode(payload, secret_key) 
    end
    # 设置令牌7天过期
    def set_auth_token_expired_time
      7.days.from_now.to_i
    end
  end
end

# 验证认证令牌
class ApplicationController < ActionController::API
  before_action :verify_auth_token

  private
  def verify_auth_token
    handle_signin_excaption
  end

  def handle_signin_excaption
    unless get_current_account!
      # 处理令牌为空
    end
    rescue JWT::ExpiredSignature => e
      # 处理令牌过期
    rescue JWT::DecodeError => e
      # 处理令牌非法
  end

  def get_current_account!
    从请求头获取令牌
    auth_type, jwt = request.headers["HTTP_AUTHORIZATION"].try(:split, ' ') 
    return false unless jwt
    读取令牌携带用户信息此处不作令牌的验证不会抛出异常
    payload, header = JWT.decode(jwt, nil, false, verify_expiration: false) 
    account = Account.find_by_email(payload["email"])
    获取验证令牌的密钥
    secret = account ? account.password_salt : "" 
    用秘钥验证令牌会抛出 JWT::ExpiredSignature  JWT::DecodeError 异常
    payload, header = JWT.decode(jwt, secret) 
    验证成功设置当前用户
    @current_account = account 
  end
end

这样做的好处有三方面:

  • 不需要再存储 auth_token,因为 token 只会存在客户端,服务器端只需要验证传来的 token 是否合法有效。
  • 支持服务拓展。服务器不需要存储 session 信息,和客户状态松耦合。
  • 实现简单。

正文: 那么 JWT 是否可以解决找回忘记密码的问题呢? 参考 Devise 的实现,它是这样做的:

  • 运用 password controller 来处理找回功能。create action 是发出找回忘记密码指示 邮件;update action 是重置密码。
  • 在 account 表下 (或任何存储用户信息的表格),存储 reset_password_token 和 reset_password_at 两个字段。reset_password_token 是一个全局唯一的随机的字符串。reset_password_token 会被包含到重置密码到链接里面,然后和新密码一起作为 update action 的参数传到后台,后台再验证这个 token 是否合法和这个请求是否过期。

这样看来,我们只需要一个唯一的 reset_token,同时需要设置重置链接的过期时间。以下是我们的解决方法,不需要任何数据库 columns。

 重置密码的 controller
class Api::V1::PasswordsController < ApplicationController
  skip_before_action :verify_auth_token

  PARAMS_ACCESSOR = [:email, :new_password, :reset_password_token] 
  PARAMS_ACCESSOR.each do |param|
    define_method param do 
      params[param]
    end
  end

  # create action 发送重置忘记密码邮件
  def create
    account = get_account
   # 运用列队处理邮件发送
    ResetPasswordMailWorker.perform_async(account.id) if account
  end

   update action 验证重置密码令牌重置密码
  def update
    handle_email_account_reset
  end

  private
  def get_account
    Account.find_by_email(email)
  end

  def handle_email_account_reset
    begin
     获取重置密码中的用户信息不验证令牌此处不会抛出异常
    payload, header = JWT.decode(reset_password_token, nil, false, verify_expiration: false)
    account = Account.find_by_email(payload["email"])
    # 验证令牌,抛出异常如果验证失败
    JWT.decode(reset_password_token, account.password_salt)
    # 验证成功,重置密码
    if account.update(password: new_password)
      # 返回成功信息
      render_message I18n.t('password.reset_password_success'), :ok      
    end
    rescue JWT::ExpiredSignature => e
      # 处理重置令牌过期
    rescue JWT::DecodeError => e
      # 处理重置令牌非法
    end
  end

end

# 发送重置密码邮件
class ResetPasswordMailWorker
  include Sidekiq::Worker
  sidekiq_options :retry => 1

  def perform(account_id)
    account = Account.find(account_id)
    token = get_reset_password_token account
    # 发送重置密码邮件,里面会携带参有合法重置密码令牌的连接
    AccountMailer.reset_password_instructions(account, token).deliver
  end

  def get_reset_password_token(account)
    payload = { email: account.email }
    payload.merge!("exp" => expired_at)
    JWT.encode(payload, secret_key(account))
  end

  设置令牌两天内过期
  def expired_at
    2.days.from_now.to_i
  end

  def secret_key(account)
    account.password_salt
  end
end

#重置密码连接格式
  "https://www.example.com/password?reset_password_token=any_valid_reset_password_token"

通过签发和验证 JWT 格式的 reset password token, 服务器端可以知道请求是否合法,这样就不需要数据库的介入。

(完)

非常不错,如果用 jwt 确实与 devise 整合非常麻烦,安全性也不高。

我这几天正好处理 devise 与 token 认证整合的一个 bug, 列两个 gem 作为反面补充:

  1. https://github.com/lynndylanhurley/devise_token_auth

  2. https://github.com/gonzalo-bulnes/simple_token_authentication

密码重置有个基本性原则,就是一个链接只能重置一次,用完作废。你的例子里设定了两天才过期,这两天用这个链接真是想怎么重置怎么重置。

reset_password_at 还是要的,如果一定要追求不添加字段,用 updated_at 代替应该也可以吧。

Redis 呢?token 类都放里面,设置过期时间也非常方便。

#3 楼 @lolychee 没错。设计的时候没有考虑这点: 改进 一:

  • 在 token 里面存放一个 created_at 的字段,服务器端存 reset_password_at,对比两个时间来得出用户是否第一次修改密码

改进二:

  • 把过期时间改成 15 分钟,忽略多次重复操作。(弱弱的觉得也不会有什么副作用)

:)

#4 楼 @flowerwrong 设想是能避免数据存储最好了。redis 也是 很快的,本身系统就在永它做列队存储

#3 楼 @lolychee 再想,其实以上实现基本不用担心多次点击重复设置的情况。因为签发令牌的 secret key 是 password_salt,它的值会随着密码的改变而改变。当重置密码成功后,那个链接也就无效了,因为 key 变了。这里的例外情况就是除非用户又把密码设置回了自己忘记的那个。

#5 楼 @teddy good read! 文章解释得很好。还把不适用的原则道出。

匿名 #12 2015年04月11日

good job :plus1:

非常赞。

我是冲着头像进来的。

有多少人是冲着头像进来的

我是冲着头像进来的。

@Rei ActiveSupport::MessageVerifier 很实用

冲着头像和文章进来的

我是冲着新头像再来一次的。

不错的文章,是个美女

匿名 #22 2015年04月20日

广州 Ruby 农鸣 们的 骄傲 😄

楼主这样的做法不是很耗 CPU 吗?那不会拖累整个 rails 进程吗?还是你们会把这个密码模块做成单一的进程来跑。感觉在同一个进程里的话,其他线程会被拖累。。。

匿名 #24 2015年04月21日

我是 冲这头像进来看的

我是 冲这头像进来看的

#9 楼 @yue 用户又把密码改回以前那个时 salt 也应该变才对

@huobazi 细节抠得好,确实 salt 也变了。 :plus1:

我也是冲着头像进来了,结果发现内容也很好

还有一个问题,如果 token 被人利用抓包工具截获掉的话,那其他人不就可以使用这个 token 访问服务器端资源了吗?token 虽然有 salt 作为密钥无法被人解密获取 token 里面的数据,但是对于截获人来说,其实并不需要知道 token 内容额。。

@yue @ryan 你说的这个问题不是 token 解决的问题,防治办法不在 token 这边,应该依赖 HTTPS 去加密网络连接。

另外 JWT 的 payload 是没有加密的,它只是用 base64 编码了而已,加密的是最后的数字签名(signature)。数字签名是用来做校验以确保 payload 没有被修改。可以说一个 JWT 的 token 就是包含了只读信息的 token。

不太明白这里:

payload, header = JWT.decode(jwt, nil, false, verify_expiration: false) payload, header = JWT.decode(jwt, secret)

为什么两种解法,都可以,解开呢?

1:这种是专门为验证设计的吗?在 jwt 的信息中包含一个隐藏的字段信息,来做签名校验吗? 2:如果不是专门为验证设计的,两种解法能够解出同样的内容,应用原理是什么?

抱歉看到了这句『简单来说 JWT (JSON Web Token) 定义了高可靠的数字签名解决标准』

#33 楼 @geniousli 就如代码中的注释,第一次调用 decode 只是为了获得 token 的 payload,进而拿到 account 的 password salt。第二次调用 decode 是为了验证 token 合法且没有过期。

yue 使用 Rails 构建 API 实践 提及了此话题。 11月04日 17:56

既然 API 访问也是通过 JWT 鉴权的,那么你们是怎样处理密码重置后,已颁发的 JWT 吊销问题的呢?假设服务端没有储存 JWT,颁发出去后只有一个过期时间,有效的 JWT 仍然是可以登录系统的。

secret_key = account.password_salt 签发令牌的密钥

明白了,用密码哈希做签名,当用户重置密码后,之前的 JWT 也就失效了。

需要 登录 后方可回复, 如果你还没有账号请 注册新账号