Laravel需手动实现首次登录或密码过期强制重置：登录成功后在authenticated()中检查must_change_password或password_changed_at，不满足则跳转重置页；用中间件RequirePasswordReset拦截未重置用户的后续请求；重置时覆盖resetPassword()更新字段；不可复用原生密码重置token流程，须走独立无token的强制重置路由。

用户首次登录或密码过期时如何强制跳转到重置页

Laravel 本身不内置“密码过期”或“首次登录强制重置”的逻辑，必须手动实现。核心思路是：在认证成功后检查用户状态（如 must_change_password 布尔字段或 password_changed_at 时间戳），不满足条件就中断登录流程并重定向。

推荐在 app/Http/Controllers/Auth/LoginController.php 的 authenticated() 方法中拦截：

protected function authenticated(Request $request, $user)
{
    if ($user->must_change_password || 
        is_null($user->password_changed_at) ||
        $user->password_changed_at->diffInDays(now()) > 90) {
        return redirect()->route('password.reset.request')->with('warning', '请先修改密码');
    }
}

注意：authenticated() 是登录成功、Session 写入之后触发的钩子，比 login() 更安全——此时用户已通过中间件校验，且 $user 是完整模型实例，可放心调用关系和访问属性。

如何用中间件拦截未重置密码用户的常规请求

不能只靠登录拦截，用户可能直接访问 /dashboard 等路径绕过登录页。需要一个中间件，在每次请求时检查当前用户是否允许继续访问。

运行 php artisan make:middleware RequirePasswordReset，然后在 handle() 中写：

public function handle($request, Closure $next)
{
    if (auth()->check() && 
        (auth()->user()->must_change_password || 
         is_null(auth()->user()->password_changed_at))) {
        return redirect()->route('password.reset.form')->with('error', '需先修改密码才能继续');
    }

    return $next($request);
}

注册中间件到 app/Http/Kernel.php 的 $middlewareGroups['web'] 或按需加到具体路由组：

• 加到整个 web 组会拦截所有已登录用户，包括管理员（建议加白名单）
• 更稳妥的做法是只对 auth 中间件之后的路由加该中间件，例如：Route::middleware(['auth', 'password.reset'])->group(...)
• 务必排除密码重置相关路由（如 password.reset.form、password.update），否则形成重定向循环

重置密码表单提交后如何更新状态并防止重复提交

Laravel 默认的 ResetPasswordController 只改密码，不会更新业务字段。你需要覆盖 reset() 方法，确保写入 password_changed_at 并清除标记：

public function reset(Request $request)
{
    $request->validate($this->rules(), $this->validationErrorMessages());

    $response = $this->broker()->reset(
        $this->credentials($request), 
        function ($user, $password) {
            $this->resetPassword($user, $password);
        }
    );

    return $response == Password::PASSWORD_RESET
        ? $this->sendResetResponse($request, $response)
        : $this->sendResetFailedResponse($request, $response);
}

protected function resetPassword($user, $password)
{
    $user->password = Hash::make($password);
    $user->must_change_password = false;
    $user->password_changed_at = now();
    $user->save();
}

关键点：

• 不要在控制器里直接调用 $user->update([...])，因为 ResetPasswordController 默认使用的是 password broker 的回调机制，绕过模型事件和监听器
• must_change_password 字段建议设为数据库默认 false，首次注册时显式设为 true（在 RegisterController@create 中）
• 前端表单应禁用提交按钮（disabled + loading 状态），避免用户连点导致多次请求——后端虽有幂等性保障，但用户体验差

为什么不能依赖 Laravel 自带的 password reset token 流程做“强制重置”

原生的 ForgotPasswordController 和邮件 Token 流程面向的是“忘记密码”场景，不具备用户上下文判断能力。它生成的 token 是全局有效的、无绑定用户状态的，无法区分“这是管理员重置自己密码”还是“这是系统强制新用户改密”。

强行复用会导致两个问题：

• Token 过期时间（默认 60 分钟）太短，用户首次登录后若没及时操作，token 失效，流程中断
• 无法跳过邮箱验证环节——而强制重置通常发生在用户刚激活邮箱后，不需要再发一次邮件
• 路由命名和视图逻辑耦合严重（如 reset.password 路由期望接收 $token 参数），硬塞空 token 或伪造 token 容易出错

所以，强制重置必须走独立流程：自定义路由（如 /password/force-reset）、独立表单、不依赖 token，仅靠 session 认证 + 用户模型字段控制流转。