Have I Been Pwned
Have I Been Pwned 插件通过防止使用在已知数据泄露中暴露的密码来帮助保护用户账户。它使用 Have I Been Pwned API 来检查密码是否已被泄露。
安装
将插件添加到您的 auth 配置中
import { betterAuth } from "better-auth"
import { haveIBeenPwned } from "better-auth/plugins"
export const auth = betterAuth({
plugins: [
haveIBeenPwned()
]
})用法
当用户尝试使用已泄露的密码创建账户或更新密码时,他们将收到以下默认错误:
{
"code": "PASSWORD_COMPROMISED",
"message": "密码已被泄露"
}配置
您可以自定义错误消息:
haveIBeenPwned({
customPasswordCompromisedMessage: "请选择一个更安全的密码。"
})安全说明
- 仅发送密码哈希的前 5 个字符到 API
- 完整密码从未传输
- 提供额外的账户安全层