パスワード再設定
再設定URLを発行し、利用者自身で安全にパスワードを変更します。
パスワード再設定は、ログインできなくなった利用者が、管理者に平文パスワードを聞かずに自分で認証し直すための導線です。Roundtableでは「誰が再設定を始めるか」「どの連絡先へURLを送るか」「有効期限や再利用不可の扱い」を決めておくと、発注者、実装者、AIに指示する人の認識をそろえやすくなります。
この機能でできること
利用者がログイン画面からメールアドレスなどを入力し、本人確認用の再設定URLを受け取れます。URLを開いた後は、新しいパスワードを本人が入力して保存し、古いURLや期限切れURLでは再設定できないようにできます。
運用者がパスワードを代理で知る必要をなくし、問い合わせ対応を安全にします。
管理側から再設定URLを再送する導線を用意すれば、電話やメールで問い合わせを受けたときも、利用者本人の操作として復旧できます。
よくある利用場面
利用者がパスワードを忘れた
ログイン画面の「パスワードを忘れた方」から再設定URLを発行し、自分で新しいパスワードを登録します。
管理者が問い合わせ対応する
管理側のユーザー詳細から再設定URLを再送し、平文パスワードを扱わずに復旧案内をします。
初回発行後に本人が変更する
仮パスワードや初期パスワードで登録した利用者に、自分だけが知るパスワードへ変更してもらいます。
プロンプト例
対象ユーザー、URL送信先、有効期限、再設定後の遷移先、管理側からの再送可否をまとめて伝えると、実装範囲が明確になります。
プロンプト
会員ポータルにパスワード再設定機能を追加してください。ログイン画面からメールアドレスを入力すると、有効期限付きの再設定URLをメール送信します。URLを開いた画面で新しいパスワードを2回入力し、一致したら保存してログイン画面へ戻してください。管理側の会員詳細からも再設定URLを再送できるようにしてください。
この機能を使うときのポイント
対象ユーザー管理者、担当者、顧客、会員など、どのログイン主体に再設定を許可するかを決めます。
送信先登録済みメールアドレス、招待先メール、担当者確認後の送信など、URLを届ける先を整理します。
有効期限再設定URLの期限、再利用不可、最新URLだけ有効にするかを決めます。
完了後の導線ログイン画面へ戻す、ログイン済みにする、完了メールを送るなど、利用者の次の操作を明確にします。
この機能を実装するときのコツ
再設定URLには推測しにくいトークンを使い、DBにはトークンそのものではなく検証用の値、有効期限、使用済み状態を保存します。パスワード保存は既存のログイン機能と同じハッシュ方式にそろえ、URL発行、メール送信、期限切れ表示、入力一致チェック、保存後のトークン無効化を一連の流れとして実装します。管理側から再送する場合も、管理者が新しいパスワードを直接入力する形にせず、利用者本人が公開側の再設定画面で変更する設計にすると安全です。