パスワードリセット

Logto は、ユーザーがパスワードを忘れた場合や変更したい場合に、安全にアカウントへのアクセスを回復できる包括的なパスワードリセット機能を提供しています。この機能はメールや SMS など複数の認証方法に対応しており、ユーザーは希望する通信チャネルでアクセスを回復できます。

アカウント回復のためのパスワードを忘れた場合

設定方法

パスワードを忘れた場合の機能を有効にするには：

コネクターの設定：メールまたは SMS コネクターをコンソール > コネクター > メールおよび SMS コネクターで設定します。
ユーザー連絡先情報の収集：サインアップ時やアカウント設定で、ユーザーがメールアドレス / 電話番号を登録していることを確認します。
認証方法の有効化：
- コンソール > サインイン & アカウント > サインアップとサインイン
  に移動します。
- サインイン方法として パスワード を有効にします。
- パスワードを忘れた場合 のために メール認証コード および / または 電話認証コード を追加します。
保存とテスト：変更を保存し、ライブプレビューでテストします。

ユーザー体験フロー

パスワードリセット機能を有効にすると、サインインフォームの下に「パスワードを忘れた場合」リンクボタンが表示されます。ユーザーはこのリンクをクリックしてパスワードリセットプロセスを開始できます。

サインインページにアクセス：ユーザーがサインインページにアクセスします。
「パスワードを忘れた場合」リンクをクリック：ユーザーが「パスワードを忘れた場合」リンクをクリックします。
メールアドレス / 電話番号の入力：「パスワードを忘れた場合」リンクをクリック後、登録済みのメールアドレスまたは電話番号を入力する新しいページにリダイレクトされます。
認証コードの送信：Logto は入力されたメールアドレスまたは電話番号に認証コードを送信し、コード認証ページにリダイレクトします。
認証コードの入力：ユーザーはメールまたは電話で受け取った認証コードを入力します。Logto はコードと、そのメールアドレス / 電話番号に紐づくユーザーの本人確認を行います。
新しいパスワードの入力：認証コードが正しく認証されると、新しいパスワードの入力を求められます。
パスワードリセット成功：入力されたパスワードがパスワードポリシー要件を満たしていれば、パスワードが正常に更新されます。
サインインページへリダイレクト：ユーザーはサインインページにリダイレクトされ、新しいパスワードでサインインできます。

認証済みユーザーは、アプリ内のアカウント設定画面からパスワードを変更（または初回設定）できます。Account API を使った構築方法はアカウント設定を参照してください。

ユーザーがパスワードを持っているか確認する

ユーザーデータには、ユーザーが現在パスワード認証情報を保持しているかどうかを示すブール値フィールド hasPassword があります。

hasPassword を取得する方法：

Management API：例 GET /api/users/:id（ユーザーオブジェクトに含まれます）
カスタムトークンクレーム：hasPassword を ID / アクセストークンに注入（フロントエンドで追加の API コールなしに UI 分岐が可能）

その後、Account API エンドポイントを呼び出してパスワードを設定または更新します（リクエスト詳細はアカウント設定ガイド参照）。これまでパスワードを持っていなかったユーザーの場合、古いパスワードフィールドは不要（かつ要求すべきではありません）。

ヒント:

メール / 電話 / ユーザー名登録時に「パスワード設定」が必須でも、ソーシャルサインインのみで作成されたユーザーは、初期パスワード作成をスキップして摩擦を減らします。これらのユーザーは明示的にパスワードを設定するまで hasPassword = false となります。セキュリティモデルで必要な場合を除き、ソーシャルサインアップ直後に即座にパスワード設定を強制しないでください。遅延かつコンテキストに応じたプロンプトの方が通常はコンバージョンが高くなります。

カスタムパスワードポリシー

パスワードの長さ、文字要件、単語制限などをカスタマイズして、ビジネスのセキュリティ要件とユーザー体験の両立を図れます。これらの設定はセキュリティ > パスワードポリシーセクションで設定できます。詳細はパスワードポリシードキュメントを参照してください。

よくある質問