Laravel 9는 bcrypt로 해시된 유효한 비밀번호를 거부합니다.
Laravel 9에서 일부 비밀번호 확인 실패 문제를 해결하는 데 며칠이 걸렸습니다. 비밀번호 testperson 解析为哈希值 yxc/wAmNCKV.YhpWOfyNoetCj/r3Fs5TyAskgZuIF/LEItWfm7rPW. 해당 데이터베이스 테이블을 직접 쿼리하여 이것이 올바른 해시 값인지 확인합니다. 그러나 Laravel의 인증 인프라는 이 비밀번호를 거부하고 인증을 거부합니다.
흔한 일이 아닙니다. 올바르게 구문 분석되는 비밀번호가 여러 개 있습니다. 예를 들어, 비밀번호 eo 解析为 y$uNWYvMVmagIwQ2eXnVKLCOAK1QFQdcRtxbvlghf.Xpg0U1w.N./N2를 입력하면 Laravel이 해당 비밀번호를 확인합니다. 동일한 메커니즘으로 두 사용자 레코드가 모두 생성되지만 권한은 서로 다릅니다(레코드의 부울 값으로 표시됨).
이 스택 오버플로 질문과 이 Treehouse 스레드에서 거짓 부정을 반환하는 것으로 식별된 함수 password_verify에서 버그를 발견했습니다.
구체적으로 다음은 오류 지점이 발생하는 Laravel의 스택입니다.
login路由通过控制器类调用IlluminateFoundationAuthAuthenticatesUsers::login.login方法调用IlluminateFoundationAuthAuthenticatesUsers::attemptLogin.attemptLogin方法调用控制器守卫对象的attempt방법.IlluminateAuthSessionGuard::attempt调用IlluminateAuthSessionGuard::hasValidCredentials.IlluminateAuthSessionGuard::hasValidCredentials调用守卫提供者对象上的validateCredentials방법.IlluminateAuthEloquentUserProvider::validateCredentials在其 hasher 对象上调用check방법.IlluminateHashingHashManager::check在其驱动程序上调用check방법.IlluminateHashingBcryptHasher::check调用IlluminateHashingAbstractHasher::check.IlluminateHashingAbstractHasher::check호출IlluminateHashingAbstractHasher::check调用password_verify.
전체 스택을 확장한 후 로그인 컨트롤러의 login 메서드에서 다음 코드를 실행합니다.
이 컨텍스트를 덤프하세요:
으아아아해당 비밀번호를 SELECT users WHERE password= 쿼리에 입력하면 예상한 사용자를 얻게 됩니다.
무슨 일이에요? 이 문제를 어떻게 해결할 수 있나요?
