ホームページ >バックエンド開発 >PHPチュートリアル >Laravel 5.2 Auth 認証の解析と Salt+パスワード暗号化検証への切り替え

Laravel 5.2 Auth 認証の解析と Salt+パスワード暗号化検証への切り替え

WBOY
WBOYオリジナル
2016-06-23 13:10:151044ブラウズ

Larval 5.2 のデフォルトの認証ログイン受信メールとユーザーのパスワードは、認証の試行メソッドに渡され、ユーザーが見つかった場合、パスワードはハッシュ化されてデータに保存されます。渡されたパスワードと同じである必要があります。ハッシュ化されたパスワード値が比較されます。 2 つのハッシュ化されたパスワードが一致すると、ユーザーの認証セッションが開かれます。

しかし、多くの場合、一部のシステムのパスワードは Salt+password によって認証されており、一部の古いシステムはリファクタリングされて Laravel フレームワークに移行されているので、パスワード認証を使用する代わりにどうすればよいでしょうか。デフォルトのパスワード方式では、salt+パスワード認証を使用しますか?

問題を解決するには、まず根本原因を理解し、手がかりをたどる必要があります

まず、Laravel がデフォルトでパスワード検証を行う方法を見てみましょう。 Auth::guard($this->) を見てみましょう。 ;getGuard())->attempt ($credentials) メソッドの動作:

Illuminate/Contracts/Auth/StatefulGuard.php

namespace Illuminate\Contracts\Auth;interface StatefulGuard extends Guard  {    /**     * Attempt to authenticate a user using the given credentials.     *     * @param  array  $credentials     * @param  bool   $remember     * @param  bool   $login     * @return bool     */    public function attempt(array $credentials = [], $remember = false, $login = true);  ......

上記のコードは、attempt が StatefulGuard インターフェイスのメソッドであることを示しています。最初のパラメーターは次のとおりです。認証が必要なフィールド、2 番目のパラメータはログインを記憶するかどうか、3 番目のパラメータはログインしているかどうかです。SessionGuard で試行がどのように実装されるかを引き続き確認してください

illuminate/auth/SessionGuard.php

class SessionGuard implements StatefulGuard, SupportsBasicAuth  {    use GuardHelpers;    ......    /**     * Attempt to authenticate a user using the given credentials.     *     * @param  array  $credentials     * @param  bool   $remember     * @param  bool   $login     * @return bool     */    public function attempt(array $credentials = [], $remember = false, $login = true)    {        $this->fireAttemptEvent($credentials, $remember, $login);        $this->lastAttempted = $user = $this->provider->retrieveByCredentials($credentials);        if ($this->hasValidCredentials($user, $credentials)) {            if ($login) {                $this->login($user, $remember);            }            return true;        }        return false;    }   /**     * Determine if the user matches the credentials.     *     * @param  mixed  $user     * @param  array  $credentials     * @return bool     */    protected function hasValidCredentials($user, $credentials)    {        return ! is_null($user) && $this->provider->validateCredentials($user, $credentials);    }.......}

$this を参照してください->provider->retrieveByCredentials( $credentials); および $this->provider->validateCredentials($user, $credentials); は、渡されたフィールドがユーザー レコードを検出したかどうかを確認するために使用されます。 validateCredentials は、ユーザー レコード内のパスワードを渡し、実際の検証プロセスを実行します。

ここで注意する必要があるのは、$this->provider です。このプロバイダーは、実際には IlluminateContractsAuthUserProvider の Provider を実装しています。Illuminate/Contracts/Auth の下に、DatabaseUserProvider.php と EloquentUserProvider.php という 2 つの UserProvider 実装があることがわかります。しかし、パスワードを検証するときにどれを使用するかをどのように決定すればよいでしょうか?

config/auth.php

 'providers' => [        'users' => [            'driver' => 'eloquent',            'model' => App\Models\User::class, //这是User Model        ],    ],

ここでは、「driver」=>「eloquent」を設定しました。その後、EloquentUserProvider.php のretrieveByCredentials によって検証されます。次に、それが何をするか見てみましょう

illuminate /auth/EloquentUserProvider.php

class EloquentUserProvider implements UserProvider  {...... /**     * Retrieve a user by the given credentials.     *     * @param  array  $credentials     * @return \Illuminate\Contracts\Auth\Authenticatable|null     */    public function retrieveByCredentials(array $credentials)    {        // First we will add each credential element to the query as a where clause.        // Then we can execute the query and, if we found a user, return it in a        // Eloquent User "model" that will be utilized by the Guard instances.        $query = $this->createModel()->newQuery();        foreach ($credentials as $key => $value) {            if (! Str::contains($key, 'password')) {                $query->where($key, $value);            }        }        return $query->first();    }   /**     * Validate a user against the given credentials.     *     * @param  \Illuminate\Contracts\Auth\Authenticatable  $user     * @param  array  $credentials     * @return bool     */    public function validateCredentials(UserContract $user, array $credentials)    {        $plain = $credentials['password'];        return $this->hasher->check($plain, $user->getAuthPassword());    }    ......}

上記の 2 つのメソッドretrieveByCredentials は、パスワード以外の検証フィールドを使用してレコードが存在するかどうかを確認します。たとえば、電子メールを使用してユーザー レコードが存在するかどうかを確認し、validateCredentials メソッドは $this->hasher-> チェックを使用して比較します。入力されたパスワードとハッシュ化されたパスワードが正しいかどうかを確認します。 $plain は、送信された暗号化されたパスワード文字列です。 $user->getAuthPassword() は、データベース レコードに保存されている暗号化されたパスワード文字列です。

これを見れば明らかです。これを独自のパスワード検証に変更する必要があります。検証してみましょう。始めましょう!

  • まず $user->getAuthPassword(); を実装し、データベース内の user テーブルのソルトとパスワードを渡して validateCredentials を行います:

AppModelsUser.php を変更して次のコードを追加します

  public function getAuthPassword()    {        return ['password' => $this->attributes['password'], 'salt' => $this->attributes['salt']];    }
  • UserProvider.php の実装はどこにでも置くことができますが、私はカスタム ディレクトリに置きます。ユーザーが記録したパスワード $plain とパスワードが渡され、認証のために送信されたパスワード $plain とソルトが暗号化され、暗号化の結果がユーザー データベースに記録されているパスワード文字列と一致する場合、暗号化アルゴリズムは当然通過します。の完全にカスタマイズされました。 interwinal私たちは、ユーザープロバイダーを独自のRyaneLoquentuserProviderに置き換えました認証!
転載する場合はその旨を明記してください: Ryan は新人です | LNMP テクノロジー スタック ノートから転載

この記事が非常に役立つと思われる場合は、報酬を贈ってみてはいかがでしょうか

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。