"Passwort vergessen" per curl aufrufen

Hallo zusammen,

ich migriere gerade mal wieder eine bestehende Seite mit internem Bereich zu Contao. Dabei muss ich mehrere hundert Mitglieder aus einer externen Datenbank importieren – eigentlich kein Problem. Aus Sicherheits- und Datenschutzgründen möchte ich diesen Mitgliedern aber nicht einfach ein neues Passwort per Mail zuschicken. Lieber würde das Contao-Modul "Passwort vergessen" dafür einsetzen – aber eben automatisiert.

Der Einfachheit halber wollte ich mir ein kleines bash-Script schreiben, welches die "Passwort vergessen"-Seite aufruft und damit automatisch Mails an alle Mitglieder verschickt. Der Aufruf sieht etwa so aus:

Code:

---

curl -b "csrf_contao_csrf_token=12345678;PHPSESSID=abcdefg" -F "FORM_SUBMIT=tl_lost_password_10&REQUEST_TOKEN=12345678&email=info%40example.com" https://www.meine-webseite.tld/passwort-vergessen.html

---

-b übergibt die Cookies, -F simuliert einen Form-Request. Die PHPSESSID habe ich einfach aus einem echten Request per Browser kopiert (Cookie), den csrf_contao_csrf_token = REQUEST_TOKEN auch. Ob die PHPSESSID überhaupt übergeben werden muss, weiß ich nicht. Für den csrf_contao_csrf_token könnte ich wahrscheinlich XYZ einsetzen, solange das mit dem REQUEST_TOKEN übereinstimmt.

Leider gibt diese curl-Abfrage nur die ganz normale Seite "https://www.meine-webseite.tld/passwort-vergessen.html" aus – ohne wirklich die Methode "sendPasswordLink()" in vendor/contao/core-bundle/src/Resources/contao/modules/ModulePassword.php aufzurufen. Auch im System-Log taucht kein Eintrag auf. Scheint ein Cross-Origin-Problem zu sein – oder? Hat jemand Tipps?

Danke & Grüße aus Freiburg
Arndt

der CSRF-Token sollte doch bei jedem Aufruf der Seite unterschiedlich sein - oder?

ggf. die Prüfung temporär abschalten

hab mir mal die Methode angesehen... passiert ja eigentlich nicht viel

bau doch die Sache in einem kleinen Script nach - im Zweifel hau den Kram in eine Templatedatei und ruf die einmal über eine Testseite aus dem FE auf

Ich habe dazu neulich https://github.com/markocupic/import-from-csv-bundle
benutzt - Die Passwörter in der .csv werden dabei autom. für die DB migriert - Es waren also keine Änderungen/Mitteilungen diesbezüglich notwendig ...

Zitat:

---

Zitat von zonky

…bau doch die Sache in einem kleinen Script nach - im Zweifel hau den Kram in eine Templatedatei und ruf die einmal über eine Testseite aus dem FE auf

---

Gute Idee! Danke, das funktioniert!

Zitat:

---

Zitat von Franko

Ich habe dazu neulich https://github.com/markocupic/import-from-csv-bundle
benutzt - Die Passwörter in der .csv werden dabei autom. für die DB migriert - Es waren also keine Änderungen/Mitteilungen diesbezüglich notwendig ...

---

Die Mitglieder werden von einem anderen CMS importiert. Dort sind die Passwörter natürlich nicht als Klartext abgespeichert – deshalb die Notwendigkeit, neue PWs einzuholen. Die übliche Methode, für alle das gleiche Passwort zu setzten und dann per Mail zu verschicken ist mir a) zu unsicher (per Mail) und b) werden mindestens 20% der Mitglieder das Passwort eben nicht ändern – und könnten sich somit "in die Karten schauen". Und ich sehe schon mit Schrecken eine E-Mail-Reply, wo ein Passwort drinnen steht – alles schon erlebt! Danke trotzdem für den Hinweis!

Zitat:

---

Zitat von a-v-l

Gute Idee! Danke, das funktioniert!

---

prima - könntest Dein Script hier https://community.contao.org/de/foru...tige-Tutorials posten... die Fragestellung kommt ab und an mal auf :D