Add authentication system with login, password reset, and member area

2025-10-21 11:23:06 +02:00
parent 4dc07b7b25
commit 2b249577a7
17 changed files with 1080 additions and 2 deletions
--- a/server/api/auth/reset-password.post.js
+++ b/server/api/auth/reset-password.post.js
@@ -0,0 +1,82 @@
+import { readUsers, hashPassword, writeUsers } from '../../utils/auth.js'
+import nodemailer from 'nodemailer'
+import crypto from 'crypto'
+
+export default defineEventHandler(async (event) => {
+  try {
+    const body = await readBody(event)
+    const { email } = body
+
+    if (!email) {
+      throw createError({
+        statusCode: 400,
+        message: 'E-Mail-Adresse ist erforderlich'
+      })
+    }
+
+    // Find user
+    const users = await readUsers()
+    const user = users.find(u => u.email.toLowerCase() === email.toLowerCase())
+
+    // Always return success (security: don't reveal if email exists)
+    if (!user) {
+      return {
+        success: true,
+        message: 'Falls ein Konto mit dieser E-Mail existiert, wurde eine E-Mail gesendet.'
+      }
+    }
+
+    // Generate temporary password
+    const tempPassword = crypto.randomBytes(8).toString('hex')
+    const hashedPassword = await hashPassword(tempPassword)
+
+    // Update user password
+    user.password = hashedPassword
+    user.passwordResetRequired = true
+    const updatedUsers = users.map(u => u.id === user.id ? user : u)
+    await writeUsers(updatedUsers)
+
+    // Send email with temporary password
+    const transporter = nodemailer.createTransport({
+      host: process.env.SMTP_HOST || 'smtp.gmail.com',
+      port: process.env.SMTP_PORT || 587,
+      secure: false,
+      auth: {
+        user: process.env.SMTP_USER,
+        pass: process.env.SMTP_PASS
+      }
+    })
+
+    const mailOptions = {
+      from: process.env.SMTP_FROM || 'noreply@harheimertc.de',
+      to: user.email,
+      subject: 'Passwort zurücksetzen - Harheimer TC',
+      html: `
+        <h2>Passwort zurücksetzen</h2>
+        <p>Hallo ${user.name},</p>
+        <p>Sie haben eine Anfrage zum Zurücksetzen Ihres Passworts gestellt.</p>
+        <p>Ihr temporäres Passwort lautet: <strong>${tempPassword}</strong></p>
+        <p>Bitte melden Sie sich damit an und ändern Sie Ihr Passwort im Mitgliederbereich.</p>
+        <br>
+        <p>Falls Sie diese Anfrage nicht gestellt haben, ignorieren Sie diese E-Mail.</p>
+        <br>
+        <p>Mit sportlichen Grüßen,<br>Ihr Harheimer TC</p>
+      `
+    }
+
+    await transporter.sendMail(mailOptions)
+
+    return {
+      success: true,
+      message: 'Falls ein Konto mit dieser E-Mail existiert, wurde eine E-Mail gesendet.'
+    }
+  } catch (error) {
+    console.error('Password-Reset-Fehler:', error)
+    // Don't reveal errors to prevent email enumeration
+    return {
+      success: true,
+      message: 'Falls ein Konto mit dieser E-Mail existiert, wurde eine E-Mail gesendet.'
+    }
+  }
+})
+