Forçar troca de senha após login

Suporte
1

Olá,

Estou migrando um fórum para o Discourse. Estou usando a mesma abordagem do plugin discourse-migratepassword para permitir que os usuários façam login com sua senha atual, mas essas senhas podem ser inseguras.

Quero permitir que os usuários façam login, mas forçá-los a alterar sua senha após o login se ela não estiver em conformidade com as configurações de senha do Discourse.

Existe uma maneira de fazer isso atualmente? Se não, onde devo procurar para implementar isso como um plugin?

Obrigado!

2

Sounds like it would be useful as an option on the discourse-migratepassword plugin. Slightly surprised it isn’t already.

3

Yeah, we can use that in the plugin too, happy to contribute that back if I implement it.

I was thinking in adding a custom_field to the user and render an alert until the user changes their password, but forcing them to change it sounds like a better option (not sure where to look to achieve this)

4

Well, I’m not forcing users to change their password, but we are rendering an alert on every login until they do so.

image
image.png772×399 29.1 KB

I’m setting a user.custom_fields['migratepassword_policy'] = true if the password doesn’t comply with Discourse settings and using that to conditionally render the modal, and we also send a password reset email once after they log in for the first time (with the insecure password)

What do you guys think?

5

I think it was enabled without an option in the past - if your password was too short, you were required to do a password reset instead.

The policy was flipped because this was locking people out of their accounts (dead email accounts).

6

Yeah, in this case we allow users to get into the platform with their current password, but we will render that modal until they change it (they can click OK or click outside the modal and it will close)

Maybe adding a “contact support if you don’t have access to your email anymore” message will do in case of dead email accounts

7

Ei, exatamente o mesmo que precisamos. Vamos criar usuários via API com uma senha padrão… depois que o usuário fizer o primeiro login, ele deverá alterar sua senha…

Como você fez isso?

Obrigado!

8

Em vez de criar um usuário com uma senha padrão, você deve criar o usuário com uma senha aleatória e nunca enviá-la a ele. Em seguida, ele pode usar o link ‘Esqueci minha senha’ na página de login para redefinir sua senha antes de fazer o login.

9

99% dos nossos usuários não têm endereço de e-mail ^^ e não queremos criar tantos e-mails apenas para “recuperação de senha”.

Não há outra maneira além de usar e-mails reais?

10

Isso será um grande problema, pois o e-mail é considerado identidade no Discourse…

11

Se você deseja ter controle total sobre o processo de login para atender aos seus padrões, recomendo usar o Single-Sign-On Oficial para o Discourse (sso).

12

O Discourse agora oferece suporte à capacidade nativa de expirar senhas.

Para fazer isso, você precisará executar:

user = User.find_by_username(username)
UserPasswordExpirer.expire_user_password(user)

Isso pode ser feito pela equipe do Discourse para clientes hospedados ou entrando em seu contêiner, executando um console Rails e executando isso nos usuários específicos.