Laravel 9はbcryptでハッシュされた有効なパスワードを拒否します
私は、Laravel 9 でのいくつかのパスワード検証エラーのトラブルシューティングに数日を費やしました。パスワード testperson はハッシュ $2y$10$5xc/wAmNCKV.YhpWOfyNoetCj/r3Fs5TyAskgZuIF/LEItWfm7rPW に解決されます。対応するデータベース テーブルを直接クエリすると、これが正しいハッシュ値であることが確認されます。ただし、Laravel の認証インフラストラクチャはこのパスワードを拒否し、認証を拒否します。
これは一般的ではありません。正しく解析できるパスワードが複数あります。たとえば、パスワード eo は $2y$10$uNWYvMVmagIwQ2eXnVKLCOAK1QFQdcRtxbvlghf.Xpg0U1w.N./N2 に解決され、Laravel はパスワードを検証します。同じメカニズムで両方のユーザー レコードが作成されますが、権限は異なります (レコードのブール値で示されます)。
関数 password_verify にバグが見つかりました。このスタック オーバーフローの質問とツリーハウス スレッドで偽陰性を返すことが判明しました。
具体的には、これはこの障害ポイントが発生する Laravel のスタックです:
loginルートは、コントローラー クラスを介して\Illuminate\Foundation\Auth\AuthenticatesUsers::loginを呼び出します。loginメソッドは\Illuminate\Foundation\Auth\AuthenticatesUsers::attemptLoginを呼び出します。attemptLoginメソッドは、コントローラー ガード オブジェクトのattemptメソッドを呼び出します。\Illuminate\Auth\SessionGuard::attempt\Illuminate\Auth\SessionGuard::hasValidCredentialsを呼び出します。\Illuminate\Auth\SessionGuard::hasValidCredentialsガード プロバイダー オブジェクトのvalidateCredentialsメソッドを呼び出します。Illuminate\Auth\EloquentUserProvider::validateCredentialsそのハッシュ オブジェクトでcheckメソッドを呼び出します。Illuminate\Hashing\HashManager::checkドライバーでcheckメソッドを呼び出します。Illuminate\Hashing\BcryptHasher::checkIlluminate\Hashing\AbstractHasher::checkを呼び出します。Illuminate\Hashing\AbstractHasher::checkpassword_verifyを呼び出します。
スタック全体を巻き戻した後、ログイン コントローラーの login メソッドで次のコードを実行します。
リーリー
リーリー
そのパスワードをSELECT users WHERE password= クエリに入力すると、期待したユーザーが得られます。
