/.well-known/change-password
के लिए किए गए अनुरोध को change-passwords यूआरएल पर रीडायरेक्ट करना
/.well-known/change-password
से अपनी वेबसाइट के पासवर्ड बदलने वाले पेज पर रीडायरेक्ट सेट करें. इससे पासवर्ड मैनेजर, उपयोगकर्ताओं को सीधे उस पेज पर ले जा सकेंगे.
परिचय
जैसा कि आपको पता है कि खाते मैनेज करने का सबसे अच्छा तरीका पासवर्ड नहीं है. हालांकि, WebAuthn जैसी नई टेक्नोलॉजी और एक बार इस्तेमाल होने वाले पासवर्ड जैसी तकनीकें, हमें पासवर्ड के बिना काम करने वाले सिस्टम के करीब ले जा रही हैं. हालांकि, इन टेक्नोलॉजी पर अब भी काम चल रहा है और इनमें तेज़ी से बदलाव नहीं होंगे. कई डेवलपर को कम से कम अगले कुछ सालों तक पासवर्ड से जुड़ी समस्याओं का सामना करना पड़ेगा. नई टेक्नोलॉजी और तरीकों के आम तौर पर इस्तेमाल होने का इंतज़ार करते हुए, हम कम से कम पासवर्ड को इस्तेमाल करने में आसान बना सकते हैं.
ऐसा करने का एक अच्छा तरीका है, पासवर्ड मैनेजर के लिए बेहतर सहायता उपलब्ध कराना.
पासवर्ड मैनेजर कैसे मदद करते हैं
पासवर्ड मैनेजर, ब्राउज़र में पहले से मौजूद हो सकते हैं या तीसरे पक्ष के ऐप्लिकेशन के तौर पर उपलब्ध हो सकते हैं. ये उपयोगकर्ताओं की मदद कई तरीकों से कर सकते हैं:
सही इनपुट फ़ील्ड के लिए पासवर्ड अपने-आप भरना: कुछ ब्राउज़र, अपने-आप सही इनपुट ढूंढ सकते हैं. भले ही, वेबसाइट इस काम के लिए ऑप्टिमाइज़ न की गई हो. वेब डेवलपर, एचटीएमएल इनपुट टैग पर सही तरीके से एनोटेट करके, पासवर्ड मैनेजर की मदद कर सकते हैं.
फ़िशिंग से बचाव: पासवर्ड मैनेजर यह याद रखते हैं कि पासवर्ड कहां रिकॉर्ड किया गया था. इसलिए, पासवर्ड सिर्फ़ सही यूआरएल पर अपने-आप भरा जा सकता है, न कि फ़िशिंग वेबसाइटों पर.
मज़बूत और यूनीक पासवर्ड जनरेट करना: पासवर्ड मैनेजर, मज़बूत और यूनीक पासवर्ड को सीधे तौर पर जनरेट और सेव करता है. इसलिए, उपयोगकर्ताओं को पासवर्ड का एक भी वर्ण याद नहीं रखना पड़ता.
पासवर्ड मैनेजर का इस्तेमाल करके पासवर्ड जनरेट करना और उन्हें ऑटोमैटिक भरना, वेब पर पहले से ही काम कर रहा है. हालांकि, पासवर्ड के लाइफ़साइकल को ध्यान में रखते हुए, ज़रूरत पड़ने पर पासवर्ड अपडेट करना उतना ही ज़रूरी है जितना कि उन्हें जनरेट करना और ऑटोमैटिक भरना. इसका सही तरीके से फ़ायदा पाने के लिए, पासवर्ड मैनेजर एक नई सुविधा जोड़ रहे हैं:
असुरक्षित पासवर्ड का पता लगाना और उन्हें अपडेट करने का सुझाव देना: पासवर्ड मैनेजर, एक से ज़्यादा बार इस्तेमाल किए गए पासवर्ड का पता लगा सकते हैं. साथ ही, उनके एन्ट्रोपी और कमज़ोरियों का विश्लेषण कर सकते हैं. इसके अलावा, वे Have I Been Pwned जैसे सोर्स से, लीक हुए पासवर्ड या असुरक्षित पासवर्ड का भी पता लगा सकते हैं.
Password Manager, उपयोगकर्ताओं को ऐसे पासवर्ड के बारे में चेतावनी दे सकता है जिनमें समस्याएं हो सकती हैं. हालांकि, उपयोगकर्ताओं को होम पेज से पासवर्ड बदलने वाले पेज पर जाने के लिए कहना और पासवर्ड बदलने की प्रोसेस को पूरा करना, दोनों ही काम आसान नहीं हैं. पासवर्ड बदलने की प्रोसेस, हर साइट के लिए अलग-अलग होती है. अगर पासवर्ड मैनेजर, उपयोगकर्ता को सीधे पासवर्ड बदलने वाले यूआरएल पर ले जा सकें, तो यह बहुत आसान हो जाएगा. ऐसे में, पासवर्ड बदलने के लिए कोई ऐसा यूआरएल काम आता है जिसे लोग आसानी से याद रख सकें.
वेबसाइट, उपयोगकर्ताओं को पासवर्ड बदलने वाले पेज पर रीडायरेक्ट करने के लिए, किसी ऐसे यूआरएल पाथ को रिज़र्व कर सकती है जो लोगों को आसानी से उस पेज पर ले जाता हो.
"पासवर्ड बदलने के लिए कोई जाना-पहचाना यूआरएल" सेट अप करना
.well-known/change-password
को पासवर्ड बदलने के लिए, एक जाना-पहचाना यूआरएल के तौर पर सुझाया गया है. आपको बस अपने सर्वर को कॉन्फ़िगर करना होगा, ताकि वह .well-known/change-password
के अनुरोधों को रीडायरेक्ट करके, आपकी वेबसाइट के पासवर्ड बदलने के यूआरएल पर ले जाए.
उदाहरण के लिए, मान लें कि आपकी वेबसाइट https://example.com
है और पासवर्ड बदलने का यूआरएल https://example.com/settings/password
है. आपको बस अपने सर्वर को सेट करना होगा, ताकि https://example.com/.well-known/change-password
के लिए किए गए अनुरोध को https://example.com/settings/password
पर रीडायरेक्ट किया जा सके. हो गया. रीडायरेक्ट करने के लिए, एचटीटीपी स्टेटस कोड
302 Found
, 303 See
Other
या 307
Temporary Redirect
का इस्तेमाल करें.
इसके अलावा, .well-known/change-password
यूआरएल पर एचटीएमएल दिखाने के लिए, <meta>
टैग के साथ http-equiv="refresh"
का इस्तेमाल किया जा सकता है.
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
पासवर्ड बदलने वाले पेज के एचटीएमएल को फिर से देखें
इस सुविधा का मकसद, उपयोगकर्ता के पासवर्ड के लाइफ़साइकल को आसान बनाना है. उपयोगकर्ता को बिना किसी रुकावट के अपना पासवर्ड अपडेट करने की सुविधा देने के लिए, ये दो काम किए जा सकते हैं:
- अगर पासवर्ड बदलने वाले फ़ॉर्म में मौजूदा पासवर्ड की ज़रूरत है, तो
<input>
टैग मेंautocomplete="current-password"
जोड़ें, ताकि पासवर्ड मैनेजर इसे अपने-आप भर सके. - नए पासवर्ड फ़ील्ड के लिए,
<input>
टैग मेंautocomplete="new-password"
जोड़ें. इससे पासवर्ड मैनेजर को जनरेट किया गया पासवर्ड सुझाने में मदद मिलेगी. कई मामलों में, यह पक्का करने के लिए कि उपयोगकर्ता ने नया पासवर्ड सही तरीके से डाला है, दो फ़ील्ड होते हैं.
साइन इन फ़ॉर्म इस्तेमाल करने के सबसे सही तरीकों के बारे में ज़्यादा जानें.
इसका इस्तेमाल असल दुनिया में कैसे किया जाता है
उदाहरण
Apple Safari के लागू होने की वजह से, /.well-known/change-password
कुछ समय से कुछ प्रमुख वेबसाइटों पर उपलब्ध है:
इन्हें खुद आज़माएं और अपने वीडियो के लिए भी ऐसा ही करें!
ब्राउज़र के साथ काम करना
पासवर्ड बदलने के लिए, एक जाना-पहचाना यूआरएल Safari में 2019 से काम कर रहा है. Chrome का Password Manager, वर्शन 86 और उसके बाद के वर्शन पर काम करना शुरू कर रहा है. इसे अक्टूबर 2020 के आखिर में रिलीज़ किया जाएगा. इसके बाद, Chromium पर आधारित अन्य ब्राउज़र पर भी यह सुविधा काम कर सकती है. Firefox इसे लागू करने के लिए सही मानता है, लेकिन अगस्त 2020 तक, उसने यह संकेत नहीं दिया है कि वह ऐसा करने जा रहा है.
Chrome के Password Manager के काम करने का तरीका
आइए, देखें कि Chrome का Password Manager, आसानी से हैक किए जा सकने वाले पासवर्ड के साथ कैसे काम करता है.
Chrome का Password Manager, लीक हुए पासवर्ड की जांच कर सकता है. about://settings/passwords
पर जाकर, उपयोगकर्ता सेव किए गए पासवर्ड के लिए पासवर्ड की जांच करें सुविधा का इस्तेमाल कर सकते हैं. साथ ही, उन पासवर्ड की सूची देख सकते हैं जिन्हें अपडेट करने का सुझाव दिया गया है.
जिस पासवर्ड को अपडेट करने का सुझाव दिया गया है उसके बगल में मौजूद, पासवर्ड बदलें बटन पर क्लिक करने पर, ब्राउज़र:
- अगर
/.well-known/change-password
सही तरीके से सेट अप है, तो वेबसाइट का पासवर्ड बदलने वाला पेज खोलें. - अगर
/.well-known/change-password
सेट अप नहीं है और Google को फ़ॉलबैक के बारे में जानकारी नहीं है, तो वेबसाइट का होम पेज खोलें.
/.well-known/change-password
मौजूद नहीं है, लेकिन सर्वर 200 OK
दिखाता है, तो क्या होगा?पासवर्ड मैनेजर यह पता लगाने की कोशिश करते हैं कि कोई वेबसाइट, पासवर्ड बदलने के लिए, आम तौर पर इस्तेमाल होने वाले यूआरएल के साथ काम करती है या नहीं. इसके लिए, वे उपयोगकर्ता को इस यूआरएल पर फ़ॉरवर्ड करने से पहले, /.well-known/change-password
को अनुरोध भेजते हैं. अगर अनुरोध के जवाब में 404 Not Found
दिखता है, तो इसका मतलब है कि यूआरएल उपलब्ध नहीं है. हालांकि, 200 OK
दिखने का मतलब यह नहीं है कि यूआरएल उपलब्ध है. ऐसा कुछ खास मामलों में होता है:
- सर्वर-साइड रेंडरिंग वाली वेबसाइट,
200 OK
के साथ कोई कॉन्टेंट न होने पर "नहीं मिला" दिखाती है. - जब "नहीं मिला" पेज पर रीडायरेक्ट करने के बाद कोई कॉन्टेंट नहीं मिलता है, तो सर्वर-साइड रेंडरिंग वाली वेबसाइट
200 OK
के साथ जवाब देती है. - कोई कॉन्टेंट न होने पर, सिंगल पेज ऐप्लिकेशन
200 OK
वाले शेल के साथ जवाब देता है और क्लाइंट साइड पर "न मिला" पेज रेंडर करता है.
इन असामान्य मामलों में, उपयोगकर्ताओं को "नहीं मिला" पेज पर भेज दिया जाएगा. इससे, उपयोगकर्ताओं को भ्रम हो सकता है.
इसलिए, एक स्टैंडर्ड तरीका सुझाया गया है, ताकि यह पता लगाया जा सके कि सर्वर को किसी पेज का अनुरोध करने पर, 404 Not Found
के साथ जवाब देने के लिए कॉन्फ़िगर किया गया है या नहीं. दरअसल, यूआरएल भी रिज़र्व है: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
.
उदाहरण के लिए, Chrome इस यूआरएल पाथ का इस्तेमाल यह तय करने के लिए करता है कि क्या उसे /.well-known/change-password
से, पासवर्ड बदलने के लिए सही यूआरएल पहले से मिल सकता है.
/.well-known/change-password
को डिप्लॉय करते समय, पक्का करें कि आपका
सर्वर, मौजूद न होने वाले कॉन्टेंट के लिए 404 Not Found
दिखाता हो.
सुझाव/राय दें या शिकायत करें
अगर आपको स्पेसिफ़िकेशन के बारे में कोई सुझाव/राय देनी है या शिकायत करनी है, तो कृपया स्पेसिफ़िकेशन के डेटाबेस में जाकर ऐसा करें.
संसाधन
- पासवर्ड बदलने के लिए, एक जाना-पहचाना यूआरएल
- एचटीटीपी स्टेटस कोड के भरोसेमंद होने का पता लगाना
- साइन इन फ़ॉर्म बनाने के सबसे सही तरीके
Unsplash पर Matthew Brodeur की फ़ोटो