在Laravel Fortify中为自定义密码创建流程生成有效令牌

1. 理解问题：自定义密码创建与令牌验证

在Laravel应用中，有时我们需要实现一个用户创建流程，例如管理员创建新用户后，系统向新用户发送一封包含链接的邮件，引导他们首次设置密码。这与传统的“忘记密码”流程类似，但目的不同。

开发者在尝试实现此类功能时，可能会直观地使用Str::random()等方法生成一个随机字符串作为令牌，并将其发送给用户。例如：

public function store(UserCreateRequest $request): RedirectResponse
{
    $token = Str::random(60); // 错误示范：此令牌无法被Fortify验证
    $user = User::create(
        array_merge(
            $request->validated(),
            ['password' => bcrypt(Str::random(8))]
        )
    );
    $user->sendPasswordCreateNotification($token);
    // ...
}

然而，这种方法生成的令牌是无效的。原因在于Laravel Fortify（或更底层Laravel的密码重置机制）在验证令牌时，不仅仅是检查字符串本身，它还需要这个令牌与数据库中password_resets（或自定义的重置表）里存储的记录相匹配，并且令牌必须是系统通过特定算法生成的。直接使用Str::random()生成的令牌没有经过这个注册过程，因此无法通过验证。

2. 正确的解决方案：使用 PasswordBroker

Laravel提供了一个专门的服务来处理密码重置令牌的生成和验证，即 Illuminate\Auth\Passwords\PasswordBroker。这个服务负责：

• 生成一个加密的、与用户关联的令牌。
• 将这个令牌及其相关信息（如用户ID、创建时间）存储到数据库的password_resets表中。
• 提供验证令牌的方法。

要生成一个Fortify能够识别并验证的有效令牌，我们应该通过PasswordBroker服务来完成。

use Illuminate\Auth\Passwords\PasswordBroker;
use App\Models\User; // 假设您的用户模型是App\Models\User

// ... 在您的控制器或服务中
$user = User::find(1); // 假设这是您要为其生成令牌的用户实例

// 获取PasswordBroker实例并生成令牌
$token = app(PasswordBroker::class)->createToken($user);

// 现在，$token 就是一个有效的、与$user关联的密码重置令牌
// 并且它已经被存储在数据库中，等待用户使用。

3. 集成到自定义密码创建流程

将上述解决方案集成到您的自定义用户创建流程中，可以确保生成的令牌是有效的。以下是一个完整的示例，展示如何在创建用户后，为其生成一个有效的密码设置令牌并发送通知：

Peech

Peech是一个为营销团队设计的生成式AI视频平台

下载

validated(),
                ['password' => bcrypt(Str::random(12))] // 为新用户设置一个随机的初始密码
            )
        );

        // 2. 使用PasswordBroker生成有效的密码重置令牌
        // 这一步会将令牌存储在password_resets表中
        $token = app(PasswordBroker::class)->createToken($user);

        // 3. 发送包含令牌的密码创建通知
        // 假设您的User模型中定义了sendPasswordCreateNotification方法
        // 该方法会构建一个包含令牌的URL并发送邮件
        $user->sendPasswordCreateNotification($token);

        return redirect()->back()->with('success', '用户创建成功，密码设置链接已发送至其邮箱！');
    }
}

4. 构建密码设置通知

在User模型中，您需要定义sendPasswordCreateNotification方法，该方法会构建一个包含令牌的URL并发送邮件。这个URL应该指向Fortify提供的密码重置路由。

示例：App\Models\User.php

notify(new PasswordCreateNotification($token));
    }
}

示例：App\Notifications\PasswordCreateNotification.php

token = $token;
    }

    /**
     * 获取通知的交付渠道。
     *
     * @param mixed $notifiable
     * @return array
     */
    public function via($notifiable)
    {
        return ['mail'];
    }

    /**
     * 获取通知的邮件表示。
     *
     * @param mixed $notifiable
     * @return \Illuminate\Notifications\Messages\MailMessage
     */
    public function toMail($notifiable)
    {
        $url = route('password.reset', [
            'token' => $this->token,
            'email' => $notifiable->getEmailForPasswordReset(), // 获取用户用于重置密码的邮箱
        ]);

        return (new MailMessage)
                    ->subject(Lang::get('设置您的账户密码'))
                    ->line(Lang::get('您好！请点击下面的按钮设置您的账户密码。'))
                    ->action(Lang::get('设置密码'), $url)
                    ->line(Lang::get('此密码设置链接将在 :count 分钟内失效。', ['count' => config('auth.passwords.users.expire')]));
    }
}

注意：

• config('auth.passwords.users.expire') 默认是 60 分钟，您可以在 config/auth.php 中配置。
• $notifiable->getEmailForPasswordReset() 方法通常返回用户的 email 属性。

5. 注意事项与总结

• 数据库迁移： 确保您已经运行了Laravel的密码重置迁移，即 password_resets 表存在于您的数据库中。如果尚未运行，请执行 php artisan migrate。
• Fortify路由： 确保Fortify的密码重置相关路由（如 password.reset）已正确注册并可用。通常在安装Fortify后，这些路由会自动注册。
• 安全性： PasswordBroker 生成的令牌是加密的、有时效性的，并且默认是单次使用的。一旦用户通过链接设置了密码，该令牌就会失效。
• 错误处理： 在实际应用中，您可能需要为邮件发送失败等情况添加错误处理逻辑。
• 用户体验： 在用户成功设置密码后，引导他们登录或提供下一步操作的指引，以提供更好的用户体验。

通过遵循上述指南，利用Laravel内置的PasswordBroker服务，您可以有效地在Laravel Fortify中实现自定义的用户密码创建流程，确保令牌的生成和验证机制的健壮性和安全性。