Bonjour,

Sur plusieurs sites, j'ai effectivement ce type de fonctionnement : quand je ne me souviens plus de mon mot de passe (Halzeimer est proche....), j'en reçois un nouveau pour pouvoir entrer à nouveau sur le site.

Au niveau Joomla, ce n'est effectivement pas un fonctionnement standard.

La demande "Mot de passe oublié" passe par le composant com_users (components/com_users/models/reset.php); Cette procédure calcule un "hashToken", le stocke dans la base de données et l'envoie à l'utilisateur. Dans cette fonction, il n'y a pas de plugin prévu. Cependant, on passe par $user-->save qui prévoit plusieurs plugins à l'écoute de onUserBeforeSave et onUserAfterSave.

On doit pouvoir sur le onUserBeforeSave remplacer le token par un nouveau mot de passe avant de l'écrire dans la base de données et envoyer un mail à l'utilisateur. Ensuite, avec le onUserBeforeSave, on doit pouvoir modifier temporairement l'adresse mail de l'utilisateur pour qu'il ne reçoive pas le 2eme mail.

C'est faisable, mais, je n'ai pas trouvé de personne l'ayant déjà fait.

Pascal

PS: attention les effets de bords....à tester vraiment bien avant de mettre en prod...

Une extension qui abaisse le niveau de sécurité d'un site ?
Moi je connais pas, et si je connaissais je distribuerai pas, comme tout webmaster qui se respecte.

Je comprend le système, mais les utilisateurs auquel je fait fasse ... comment dire pour ne vexer personne .... se sont pas réceptif à se genre de protocole. Ils veulent un système plus simple qui génère un nouveau mot de passe et que cela soit envoyé par mail, il se foute royalement de la vérification par code de machin pour vérifier le bidule (se sont leurs propos) et de toute manière c'est leur demande, s'il sont spammé c'est pas mon problème. Donc si Joomla n'est pas capable de le faire, un plugin ou une autre extension pourrait t'il le faire ?

Salut,
Le principe du code de vérification permet de ne changer le mot de passe que si ce code est indiqué dans le formulaire concerné auquel on accède via le lien qui est dans l'e-mail envoyé lors de la demande réinitialisation du mot de passe.

L'intérêt d'une telle procédure ?
Peut-être pour ne pas voir le mot de passe d'un compte être changé automatiquement par un petit malin qui se fait passer pour un utilisateur et qui joue avec la procédure de changement de mot de passe.

On veut donc s'assurer que la demande est bien légitime avant de changer définitivement le mot de passe.

Dol.