这里我不使用PasswordResetView
,因为我通过动态电子邮件配置发送电子邮件,为此,我做了自己的视图,该视图使用PasswordResetTokenGenerator
生成了令牌,并且还将电子邮件发送给用户。我的电子邮件中的密码重置链接看起来像这样http://127.0.0.1:8000/password-reset/confirm/NQ/5as-b3502199950ff028a6ef/
但是在该链接中单击后,它将重定向到password_reset_confirm
,这很好,但是在此视图中,{{form.as_p}}
不起作用。它仅显示按钮,而在使用auth-views.PasswordresetView
之前,表单正在运行,但现在该表单未在模板中传递。
我该如何解决?
urls.py
path('password-reset/',views.send_password_reset_email,name='password_reset'),
path('password-reset/done/',auth_views.PasswordResetDoneView.as_view(template_name='password_reset_done.html'),name='password_reset_done'),
path('password-reset/confirm/<uidb64>/<token>/',
auth_views.PasswordResetConfirmView.as_view(template_name='password_reset_confirm.html', success_url=reverse_lazy('password_reset_complete'),),name='password_reset_confirm'),
views.py
def send_password_reset_email(request):
form = CustomPasswordResetForm()
if request.method == 'POST':
form = CustomPasswordResetForm(request.POST)
if form.is_valid():
email = form.cleaned_data['email']
user = get_user_model().objects.get(email__iexact=email)
site = get_current_site(request)
mail_subject = "Password Reset on {} ".format(site.domain)
message = render_to_string('password_reset_email.html', {
"user": user,
'domain': site.domain,
'uid': urlsafe_base64_encode(force_bytes(user.pk)).decode(),
'token': activation_token.make_token(user)
})
config = EmailConfiguration.objects.order_by('-date').first()
backend = EmailBackend(host=config.email_host, port=config.email_port, username=config.email_host_user,
password=config.email_host_password, use_tls=config.email_use_tls)
email = EmailMessage(subject=mail_subject, body=message, from_email=config.email_host_user, to=[user.email],
connection=backend)
email.send()
return redirect('password_reset_done')
return render(request, 'password_reset.html',{'form':form})
password_reset_email.html
{% block reset_link %}
http://{{domain}}{% url 'password_reset_confirm' uidb64=uid token=token %}
{% endblock %}
password_reset_confirm.html
<form action="" method="post">
{% csrf_token %}
{{form.as_p}}
<button type="submit" class="btn btn-info">Reset Password</button>
</form>
tokens.py
from django.contrib.auth.tokens import PasswordResetTokenGenerator
from django.utils import six
class TokenGenerate(PasswordResetTokenGenerator):
def _make_hash_value(self, user, timestamp):
return (
six.text_type(user.id)+six.text_type(timestamp)+six.text_type(user.is_active)
)
activation_token=TokenGenerate()
答案 0 :(得分:2)
您将PasswordResetTokenGenerator
子类化,因此在验证令牌时也需要使用它。 Django很容易实现,PasswordResetConfirmView
具有token_generator
作为类属性,因此您只需要对其子类进行覆盖即可覆盖其使用的令牌生成器:
class CustomPasswordResetConfirmView(auth_views.PasswordResetConfirmView):
token_generator = activation_token
然后在您的网址格式中将此视图用于'password-reset/confirm/<uidb64>/<token>/'
路径。
此外,您还需要确保正确编码uid
。您可以通过检入django shell来验证是否正确完成了操作:
uid = force_text(urlsafe_base64_decode(uidb64))
User.objects.get(pk=uid)
应该返回用户。
请注意,您的_make_hash_value
方法并不安全:在时间戳保持有效的一天里,它总是会生成相同的哈希值。因此,即使用户更改了密码,它也可以多次重复使用,并且有权访问该电子邮件的任何人都可以再次重置该密码。这就是Django生成器的原始_make_hash_value
使用密码的原因,因此,在更改密码后,将无法再次使用该密码。
更糟糕的是,我可以为您的任何用户创建令牌,并以这种方式重置他们的密码,因为除了他们的ID(整数)之外,我不需要知道任何其他信息,因此我可以尝试直到找到一个数据库中存在的ID。