Yazılım

Laravel’de Parola Sıfırlama: Kullanıcıların Parolalarını Nasıl Sıfırlamalarını Sağlayabilirsiniz

teknomers
teknomers

Her web uygulamasının ihtiyaç duyduğu en temel özelliklerden biri güvenli bir şifre sıfırlama sistemidir. Laravel’de şifre sıfırlamayı uygulamak istiyorsanız, doğru yerdesiniz.

Yeni bir uygulama oluşturuyor ya da mevcut bir projeye kimlik doğrulama ekliyorsanız, kimse hesaplarına erişim sağlayamadığı için kullanıcıların hayal kırıklığına uğramasını istemez. Laravel, yerleşik şifre sıfırlama özellikleri ile bu işlevselliği uygulamayı kolaylaştırır.

Bu rehberde, Laravel’de şifre sıfırlama işlemini nasıl uygulayacağınızı anlatacağım. Yerleşik sistemi ve API’ler ve gelişmiş kullanım durumları için özel uygulamalar oluşturmayı ele alacağız.


İçindekiler


Laravel’in Yerleşik Şifre Sıfırlama Sisteminin Anlaşılması

Uygulamaya geçmeden önce, Laravel’in şifre sıfırlama işleminin arka planda nasıl çalıştığını anlamamız gerekiyor.


Laravel Şifre Sıfırlama Nasıl Çalışır

Laravel, kutudan çıktığı gibi tam bir şifre sıfırlama sistemi sunar. İşte akışın nasıl çalıştığı:

  1. Kullanıcı “Şifremi Unuttum” butonuna tıklar ve e-posta adresini girer.
  2. Laravel, benzersiz bir token oluşturur ve bunu password_reset_tokens tablosuna kaydeder.
  3. Kullanıcıya, token içeren bir şifre sıfırlama bağlantısıyla e-posta gönderilir.
  4. Kullanıcı bağlantıya tıkladığında şifre sıfırlama formuna yönlendirilir.
  5. Yeni şifreyi gönderdikten sonra, Laravel token’ı doğrular.
  6. Eğer geçerliyse, Laravel kullanıcı şifresini günceller ve token’ı siler.

Bu sistemin avantajı, token’ların güvenlik açısından hashlenmiş olması ve otomatik olarak belirlenen süre sonra (varsayılan olarak 60 dakika) sona ermesidir.


Ana Bileşenler

Laravel’in şifre sıfırlama işlevselliği, birkaç ana bileşene dayanır:

  • PasswordBroker: Token oluşturma ve doğrulama işlemlerini yönetir.
  • Password Facade: Şifre sıfırlama için kullanışlı yöntemler sağlar.
  • ResetPassword Notification: Şifre sıfırlama e-postasını gönderir.
  • password_reset_tokens Tablosu: Sıfırlama token’larını saklar.

Artık nasıl çalıştığını anladığımıza göre uygulamaya geçelim.


Laravel’de Şifre Sıfırlamayı Nasıl Uygularız


Ön Gereksinimler

Başlamadan önce şunların kurulu olduğundan emin olun:

  • Makinenizde Laravel 11.x veya 12.x yüklü.
  • Laravel yönlendirmeleri ve denetleyicileri hakkında temel bilgi.
  • Bir e-posta sunucusu veya SMTP sunucusu yapılandırması (SendLayer’ın SMTP’sini nasıl kullanacağınızı göstereceğim).
  • Veritabanı bağlantınız ayarlı.
  • VS Code gibi bir kod editörü.

Laravel sürümünüzü kontrol etmek için şu komutu çalıştırabilirsiniz:

php artisan --version

Eğer henüz Laravel kurulu değilse, yeni bir proje oluşturmak için şu komutu çalıştırabilirsiniz:

composer create-project laravel/laravel password-reset-demo

İpucu: password-reset-demo, Laravel projesinin adıdır. İstediğiniz başka bir adı da kullanabilirsiniz.

Daha sonra proje dizinine şu komutla geçin:

cd password-reset-demo


Laravel Breeze Kullanarak Şifre Sıfırlamayı Nasıl Kurarız

Şifre sıfırlamayı kurmanın en hızlı yolu, oturum açma, kayıt, şifre sıfırlama ve e-posta doğrulama içeren minimal bir kimlik doğrulama başlangıç kiti olan Laravel Breeze’i kullanmaktır.


Adım 1: Laravel Breeze’i Kur

Laravel Breeze’i kurmak için şu komutu çalıştırın:

composer require laravel/breeze --dev

Bir yığın seçmeniz istenecek. Bu öğreticide, Blade yığınını kullanacağım. Blade yığınıyla kurulum yapmak için aşağıdaki komutu çalıştırabilirsiniz:

php artisan breeze:install blade

Ardından, aşağıdaki komutla ön uç bağımlılıklarını kurun:

npm install && npm run dev

Not: npm run dev, Vite ön uç geliştirme sunucusunu başlatır. Lütfen bu sunucunun şifre sıfırlama formlarını kullanabilmek için çalışır durumda kalmasını sağlayın.

Kurulum tamamlandıktan sonra şu komutla veritabanınızı migrate edin:

php artisan migrate

Bu komut, password_reset_tokens tablosu dahil olmak üzere gerekli tüm veritabanı tablolarını oluşturur.


Adım 2: E-posta Ayarlarınızı Yapılandırın

Şifre sıfırlama e-posta bildirimlerine ihtiyaç duyar, bu nedenle .env dosyanızda e-posta ayarlarınızı yapılandırmanız gerekecek.

Gönderimlerinizi güvenilir bir şekilde ulaştırmak için SendLayer kullanmanızı öneririm. İşte bunu nasıl yapılandıracağınız:

MAIL_MAILER=smtp
MAIL_HOST=smtp.sendlayer.net
MAIL_PORT=587
MAIL_USERNAME=your_sendlayer_username
MAIL_PASSWORD=your_sendlayer_password
MAIL_ENCRYPTION=tls
MAIL_FROM_ADDRESS=[email protected]
MAIL_FROM_NAME="${APP_NAME}"

Önemli: MAIL_FROM_ADDRESS, SendLayer’da yetkilendirdiğiniz alanı kullanmalıdır. Örneğin, eğer example.com alanını yetkilendirdiyseniz, [email protected] kullanmalısınız.

SendLayer kullanıyorsanız, SMTP bilgilerinizi hesap panonuz altında Ayarlar » SMTP Bilgileri kısmından alabilirsiniz.


Adım 3: Şifre Sıfırlama Veritabanı Tablosunu Doğrulayın

Şifre sıfırlama tablosunun doğru bir şekilde oluşturulduğunu kontrol edelim. Migration şu şekilde görünmelidir:

Schema::create('password_reset_tokens', function (Blueprint $table) {
    $table->string('email')->primary();
    $table->string('token');
    $table->timestamp('created_at')->nullable();
});

Bunu doğrulamak için şu komutu çalıştırabilirsiniz:

php artisan migrate:status

Tablo üç şeyi saklar:

  • email: Kullanıcının e-posta adresi
  • token: Sıfırlama token’ının hashlenmiş versiyonu
  • created_at: Token’ın geçerlilik süresi


Adım 4: Şifre Sıfırlama Akışını Test Edin

Breeze kurulumu yapıldığında, zaten çalışan bir şifre sıfırlama sistemine sahipsiniz. Hadi bunu test edelim:

Geliştirme sunucunuzu şu komutla başlatın:

php artisan serve

Sonrasında, tarayıcınızı açın ve http://localhost:8000/login adresine gidin. Burada Şifrenizi mi Unuttunuz? bağlantısına tıklayın.

Kayıtlı bir kullanıcının e-posta adresini girin ve ŞİFRE SIFIRLAMA BAĞLANTISI GÖNDER düğmesine tıklayın.

Kullanıcıya gelen kutusuna mesajı alacaksınız. Devam edin ve şifrenizi sıfırlamak için Şifreyi Sıfırla butonuna tıklayın.

Eğer token geçerliyse, Laravel uygulamanıza geri yönlendirilirsiniz; yeni şifrenizi girmeniz istenir. Token, sıfırlama bağlantısında bir URL parametresi olarak eklenecektir.

Yeni şifrenizi girin ve onaylayın. Ardından ŞİFREYİ SIFIRLA butonuna tıklayarak şifrenizi güncelleyin.

Eğer her şey yolunda gittiyse, tebrikler! Laravel’de şifre sıfırlamayı başarıyla uyguladınız.


Modern Uygulamalar İçin Şifre Sıfırlama API’sini Nasıl Uygularız

Eğer bir mobil uygulama, SPA veya başsız CMS oluşturuyorsanız, geleneksel web formlarının yerine API tabanlı bir şifre sıfırlama sistemine ihtiyacınız olacaktır. İşte nasıl yapıldığı:


Adım 1: API Yollarını Oluştur

Öncelikle routes klasöründe yeni bir api.php dosyası oluşturun. Ardından, routes/api.php dosyanıza aşağıdaki yolları ekleyin:



use App\Http\Controllers\Api\PasswordResetController;

// Laravel şifre sıfırlama API yolları
Route::post('/forgot-password', [PasswordResetController::class, 'forgotPassword']);
Route::post('/reset-password', [PasswordResetController::class, 'resetPassword']);

Bu PHP kodu, HTTP uç noktalarını ilgili şifre sıfırlama denetleyicisi metodlarına bağlamaktadır.

Öncelikle PasswordResetController sınıfını içe aktarıyoruz, böylece yol tanımlarımızda metodlarını referans alabiliriz.

İlk olarak, Laravel’in Route::post() yöntemini kullanarak iki POST yolu tanımlıyoruz. /forgot-password uç noktası forgotPassword metoduna bağlanır; burada sıfırlama bağlantılarını gönderen mantık uygulanır.

/reset-password uç noktası resetPassword metoduna, gerçek şifre değişikliğini yürüten mantığa bağlıdır.


Adım 2: API Yollarını Kaydedin

API yollarını tanımladıktan sonra, Laravel’in bu yolları işleyebilmesi için kaydedilmesi gereken bir durum vardır. Laravel 11+ sürümünde, bootstrap/app.php dosyasında açıkça API yolu kaydı yapılması gerekmektedir.

Öyleyse, bootstrap/app.php dosyasını açın ve return ifadesine aşağıdaki satırı ekleyin. Ideal olarak, bu web satırının altına yerleştirilmelidir:

api: __DIR__.'/../routes/api.php',

Bu satırı dışarıda bırakırsanız, uygulamanız web.php dosyasında tanımlı olan yolları varsayılan olarak kullanacaktır.


Adım 3: API Kontrolcüsünü Oluşturun

Artık API şifre sıfırlama işlemleri için yeni bir kontrolcü oluşturmamız gerekiyor:

php artisan make:controller Api/PasswordResetController

Daha sonra, Http/Controllers/Api/PasswordResetController dosyasını açın ve içeriğini aşağıdaki parçalarla değiştirin:



namespace App\Http\Controllers\Api;

use App\Http\Controllers\Controller;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Password;
use Illuminate\Support\Facades\Hash;
use Illuminate\Validation\ValidationException;

class PasswordResetController extends Controller
{
    public function forgotPassword(Request $request)
    {
        $request->validate(['email' => 'required|email']);

        $status = Password::sendResetLink(
            $request->only('email')
        );

        if ($status === Password::RESET_LINK_SENT) {
            return response()->json([
                'message' => 'Şifre sıfırlama bağlantısı e-posta adresinize gönderildi.'
            ], 200);
        }

        throw ValidationException::withMessages(['email' => [__($status)],
        ]);
    }

    public function resetPassword(Request $request)
    {
        $request->validate(['token' => 'required',
            'email' => 'required|email',
            'password' => 'required|min:8|confirmed',
        ]);

        $status = Password::reset(
            $request->only(, , , ),
            function ($user, $password) {
                $user->password = Hash::make($password);
                $user->save();
            }
        );

        if ($status === Password::PASSWORD_RESET) {
            return response()->json([
                => ], 200);
        }

        throw ValidationException::withMessages([=> [()],
        ]);
    }
}


Kodun Analizi

Yukarıdaki kodda, şifre sıfırlama işlemlerini yöneten bir Laravel API denetleyicisi tanımlıyoruz. Bu işlemler arasında sıfırlama bağlantılarının gönderilmesi ve şifre değişikliklerinin işlenmesi bulunur.

Öncelikle, ad alanını tanımlıyoruz ve gerekli Laravel sınıflarını içe aktarıyoruz. İşte kullandığımız sınıfların özeti:

  • Controller: Temel sınıf
  • Request: HTTP verilerini ele alır
  • Password: Sıfırlama işlemleri için kullanılır
  • Hash: Güvenli şifre hashleme işlemlerini gerçekleştirir
  • ValidationException: Hata yönetimi için kullanılır

forgotPassword metodu, isteğin geçerli bir e-posta adresine sahip olduğunu doğrular. Ardından, Password::sendResetLink() yöntemini kullanarak benzersiz bir token oluşturur ve sıfırlama e-postasını gönderir.

Eğer başarılı olursa, bir JSON onayı döndürür; aksi takdirde bir doğrulama istisnası fırlatır ve hata mesajını gösterir.

resetPassword metodu, token’ı, e-posta adresini ve yeni şifreyi doğrular. Daha sonra Password::reset() yöntemini çağırarak token’ın geçerliliğini kontrol eder.

Ardından, yeni şifreyi Hash::make() ile hashler ve kullanıcı bilgilerini kaydeder.


Adım 4: Şifre Sıfırlama E-postası Özelleştirme

Varsayılan olarak, Laravel markalı bir şifre sıfırlama e-posta şablonu gönderir. Hadi bunu kendi markanıza uygun hale getirelim.

Öncelikle, özel bir bildirim oluşturun:

php artisan make:notification CustomResetPasswordNotification

Daha sonra bildirim sınıfını güncelleyin:



namespace App\Notifications;

use Illuminate\Notifications\Messages\MailMessage;
use Illuminate\Notifications\Notification;

class CustomResetPasswordNotification extends Notification
{
    public $token;

    public function __construct($token)
    {
        $this->token = $token;
    }

    public function via($notifiable)
    {
        return ['mail'];
    }

    public function toMail($notifiable)
    {
        $url = url(route(, [
            => $this->token,
            => $notifiable->getEmailForPasswordReset(),
        ], false));

        return (new MailMessage)
            ->subject()
            ->line()
            ->action(, $url)
            ->()
            ->();
    }
}

Sonunda, kullanıcı modelinizdeki sendPasswordResetNotification metodunu override edin (app/Models/User.php):

use App\Notifications\CustomResetPasswordNotification;

public function sendPasswordResetNotification()
{
    $this->(new CustomResetPasswordNotification());
}

Artık şifre sıfırlama e-postalarınızda özelleştirilmiş şablon kullanılacak.


Adım 5: API’yi Test Edin

API uç noktalarınızı cURL veya Postman gibi bir API istemcisi kullanarak test edebilirsiniz. İşte cURL kullanarak hızlı bir test yapma yöntemi:

# Şifre sıfırlama bağlantısını gönder
curl -X POST http://localhost:8000/api/forgot-password \
  -H "Content-Type: application/json" \
  -d

Şifre sıfırlama bağlantısını talep ettikten sonra, kullanıcının e-postası mevcutsa bir bildirim almanız gerekir.

Çünkü bu bir API yolu olduğu için, şifreyi güncelleme seçeneği yoktur. Şimdi şifre sıfırlama bağlantısını kopyalamamız gerekecek. Daha sonra bunu şifre sıfırlama uç noktasına yapılan bir API çağrısında kullanacaksınız. İşte örnek bir komut:

# Şifreyi sıfırlama
curl -X POST http://localhost:8000/api/reset-password \
  -H "Content-Type: application/json" \
  -d

"token" değerini, unuttuğunuz şifre e-postasında aldığınız gerçek token ile değiştirin. İsteği gönderdikten sonra başarılı bir yanıt almalısınız.

{"message":"Şifre başarıyla sıfırlandı."}


Token Süresini Nasıl Özelleştirirsiniz?

Varsayılan olarak, şifre sıfırlama token’ları 60 dakikada sona erer. Bunu config/auth.php dosyanızda değiştirebilirsiniz. İşte Laravel’in şifre sıfırlama süresini güncellemenin yolu:

'passwords' => [
    => [
        => ,
        => ,
        => 30,// 30 dakika olarak değiştirin
        => 60,
    ],
],


Ortak Şifre Sıfırlama Sorunlarını Giderme

Laravel şifre sıfırlama işlemleriyle ilgili sorunlarınıza yönelik bazı ipuçları.


“Bu şifre sıfırlama token’ı geçersizdir” hatası

Bu en sık karşılaşacağınız hata. Birkaç sebebi olabilir:

  • Token süresi dolmuş (varsayılan 60 dakika)
  • Token zaten kullanılmış
  • E-posta, veritabanındaki token ile eşleşmiyor
  • URL’deki token ile veritabanındaki arasında uyuşmazlık var

Bu sorunu çözmek için:

  1. Token süresi ayarlarınızı config/auth.php dosyasında kontrol edin.
  2. E-posta adresinin tamamen eşleştiğinden emin olun (büyük-küçük harf duyarlı).
  3. Test yapmak için şifre sıfırlama token’ları tablosunu temizleyin:
php artisan tinker
DB::table()->truncate();
  1. Formda token’ı doğru geçirip geçirmediğinizi kontrol edin.


Şifre sıfırlama e-postası gönderilmiyor

Kullanıcılar şifre sıfırlama e-postalarını almıyorsa, kontrol etmeniz gerekenler:

  1. E-posta yapılandırmanızı test edin:
php artisan tinker
Mail::raw(function() {
    ()->subject();
});
  1. .env dosyanızda doğru SMTP ayarlarını kontrol edin.
  2. Hatalar için Laravel günlüklerini storage/logs/laravel.log dosyasında inceleyin.
  3. Queues kullanıyorsanız, kuyruk işçisinin çalıştığından emin olun:
php artisan queue:work
  1. Üretimde, e-posta iletimi sağlamak için güvenilir bir SMTP hizmeti kullanın.


Yollar çalışmıyor (404 hatası)

Şifre sıfırlama yollarına erişim sağlarken 404 hatası alıyorsanız:

  1. Yol önbelleğinizi temizleyin:
php artisan route:clear
php artisan cache:clear
  1. Yolların kaydedildiğinden emin olun:
php artisan route:list | grep password
  1. Yolları doğru dosyaya (yani web.php veya api.php) eklediğinizden emin olun.


Üretim için En İyi Uygulamalar

Bir şifre sıfırlama sistemini üretime dağıtırken, bu güvenlik en iyi uygulamalarına uyun:


HTTPS Kullanın

Her zaman üretimde HTTPS kullanın. Şifre sıfırlama bağlantıları asla güvensiz bağlantılar üzerinden gönderilmemelidir.

.env dosyanızda:

APP_URL=https://yourdomain.com


E-posta Gönderiminde Kuyruk Kullanımı

Daha iyi performans için şifre sıfırlama e-postalarını, senkron olarak göndermek yerine kuyruklayın:

public function sendPasswordResetNotification()
{
    ->(new CustomResetPasswordNotification())->(()->()));
}

Kuyruk işçinizi çalıştırdığınızdan emin olun:

php artisan queue:work


Hız Limiti Uygulayın

Şifre sıfırlama taleplerinde suistimali önlemek için limit getirin. Laravel, varsayılan olarak throttling içerir, ancak bunu özelleştirmeniz mümkündür:

=> [
    => [
        => ,
        => ,
        => ,// 60 saniyede bir yalnızca 1 talep yapma sınırı
    ],
],


Kullanıcı Mevcudunu Açığa Çıkarmaktan Kaçının

Güvenlik açısından, saldırganlara sisteminizde bir e-posta adresinin mevcut olup olmadığını söylemeyin. Her zaman aynı yanıtı döndürün:

public function sendResetLink(Request )
{
    ([=> Password->sendResetLink((// Her zaman başarılı mesajı döndürün
    return ('Eğer bu e-posta varsa, bir şifre sıfırlama bağlantısı gönderilmiştir.');
}


Sık Sorulan Sorular

Laravel’de şifre sıfırlama uygulamasıyla ilgili sıkça sorulan bazı soruları yanıtlayacağız.


Laravel şifre sıfırlama e-posta şablonunu nasıl özelleştiririm?

Şifre sıfırlama e-postasını özelleştirmek için bir özel bildirim sınıfı oluşturmalısınız ve kullanıcı modelinizde sendPasswordResetNotification metodunu geçersiz kılmalısınız. Daha fazla detay için E-posta Şablonunu Özelleştirme bölümüne bakın.


Laravel şifre sıfırlamayı e-posta olmadan kullanabilir miyim?

Evet, SMS ile OTP tabanlı sıfırlama uygulayabilir veya token’ları veritabanınızda depolayıp, manuel olarak doğrulayarak şifre değişikliklerini yapabilirsiniz.


Laravel’in şifre sıfırlama işlemi üretim için güvenli midir?

Evet, Laravel, token’ların hashlenmesi, sürelendirilmesi ve güvenli rastgele oluşturulması gibi endüstri standartı güvenlik uygulamalarını kullanmaktadır. Sadece HTTPS kullanmaya ve en iyi uygulamalara uymaya dikkat edin.


Birden fazla kullanıcı türü için şifre sıfırlamayı nasıl uygulayabilirim?

Kullanıcı türleri (kullanıcılar, yöneticiler vb.) için config/auth.php dosyanızda ayrı şifre brokerleri oluşturun ve farklı guardlar kullanın.


Kapanış

Bu kapsamlı rehberde, Laravel’de şifre sıfırlamanın uygulanması ile ilgili bilmeniz gereken her şeyi ele aldık.

Sorularınız varsa veya uygulamanızı paylaşmak istiyorsanız, bu rehberin yardımcı olup olmadığını yorumlarda belirtin ya da kendi Laravel şifre sıfırlama ipuçlarınızı paylaşın!

Kaynak: Orijinal Makale

Contents
Sıfır Kesinti ile Dağıtım Açıklandı: Deploynix’in Sorun Çıkarmadan Nasıl Gönderim Yaptığı
Canlı CRM’den Çoklu Kiracılık ve İkinci İncelemenin Bulduğu İki Eksiklik
Nginx’i Başlatma, Durdurma ve Yeniden Başlatma Yöntemleri
Laravel 11 ve Flutter PWA ile Yerel İşletme Dizinini Nasıl Oluşturdum (ve Bunu Başlangıç Kiti Olarak Paketledim)
Laravel ve React ile Sunucu Tarafında Renderleme (Inertia.js Kullanarak)
Bu Makaleyi Paylaş
Önceki Makale Acil: BeyondTrust Uzak Destek ve PRA’daki Kritik RCE Açığı Onarıldı
Sonraki Makale Kritik: TeamPCP Solucanı Bulut Altyapısını Nasıl Ele Geçiriyor?

Sanal Medya

Son Eklenenler

Bireysel Geliştiricinin Takım Gibi İnşa Etme Yöntemi: Planı Dondurma, Kesişen Noktaları Dondurma
Yazılım
Kritik Uyarı: UNC3753’ün Vishing ve Fiziksel İhlalleriyle Veri Hırsızlığı
Siber Güvenlik
Yeni Bir Macera: Spyro Ejderha, 20 Yıl Sonra Geri Dönüyor
Oyun
Kritik: VS Code, Tedarik Zinciri Saldırılarını Önlemek İçin Gecikme Getirdi
Siber Güvenlik
XRP Fiyatında Stabilizasyon: Dört Aylık Düşüklerin Üzerinde $1.10
Finans
5 Dakikada Üretime Hazır Bir Restoran POS Sistemi Oluşturma (Claude AI + Laravel)
Yazılım