Laravel 5.2 Auth 认证解析以及改用 salt+passwrod 加密验证-php教程-PHP中文網

首頁

後端開發

php教程

Laravel 5.2 Auth 认证解析以及改用 salt+passwrod 加密验证

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 23, 2016 pm 01:10 PM

Larval 5.2的默认Auth登陆传入邮件和用户密码到 attempt方法来认证，通过 email的值获取，如果用户被找到，经哈希运算后存储在数据中的 password将会和传递过来的经哈希运算处理的 passwrod值进行比较。如果两个经哈希运算的密码相匹配那么将会为这个用户开启一个认证Session。

但是往往我们一些系统中的密码是通过salt+password的方式来做密码认证的，或者一些老的系统是通过salt+passwrod来认证的，现在重构迁移到Laravel框架中，那么密码认证如何不用默认的passwrod的方式而用salt+password的方式认证？

要解决问题，我们最好还是先要弄明白根源，顺藤摸瓜

首先看一下Laravel默认如何做密码验证的，看看 Auth::guard($this->getGuard())->attempt($credentials)方法做了什么：

Illuminate/Contracts/Auth/StatefulGuard.php

namespace Illuminate\Contracts\Auth;interface StatefulGuard extends Guard  {    /**     * Attempt to authenticate a user using the given credentials.     *     * @param  array  $credentials     * @param  bool   $remember     * @param  bool   $login     * @return bool     */    public function attempt(array $credentials = [], $remember = false, $login = true);  ......

上面代码看到 attempt是 StatefulGuard接口中的方法,第一个参数为需要认证的字段，第二个参数为是否记住登陆，第三个参数是否登陆，继续往下看 attempt在SessionGuard中是如何实现的

illuminate/auth/SessionGuard.php

class SessionGuard implements StatefulGuard, SupportsBasicAuth  {    use GuardHelpers;    ......    /**     * Attempt to authenticate a user using the given credentials.     *     * @param  array  $credentials     * @param  bool   $remember     * @param  bool   $login     * @return bool     */    public function attempt(array $credentials = [], $remember = false, $login = true)    {        $this->fireAttemptEvent($credentials, $remember, $login);        $this->lastAttempted = $user = $this->provider->retrieveByCredentials($credentials);        if ($this->hasValidCredentials($user, $credentials)) {            if ($login) {                $this->login($user, $remember);            }            return true;        }        return false;    }   /**     * Determine if the user matches the credentials.     *     * @param  mixed  $user     * @param  array  $credentials     * @return bool     */    protected function hasValidCredentials($user, $credentials)    {        return ! is_null($user) && $this->provider->validateCredentials($user, $credentials);    }.......}

看到通过 $this->provider->retrieveByCredentials($credentials);和 $this->provider->validateCredentials($user, $credentials);来实现验证， retrieveByCredentials是用来验证传递的字段查找用户记录是否存在， validateCredentials才是通过用户记录中密码和传入的密码做验证的实际过程。

这里需要注意的是 $this->provider,这个 provider其实是实现了一个 Illuminate\Contracts\Auth\UserProvider的 Provider,我们看到 Illuminate/Contracts/Auth下面有两个 UserProvider的实现，分别为 DatabaseUserProvider.php和 EloquentUserProvider.php。但是我们验证密码的时候是通过哪个来验证的是在怎么决定的？

config/auth.php

 'providers' => [        'users' => [            'driver' => 'eloquent',            'model' => App\Models\User::class, //这是User Model        ],    ],

这里我配置了 'driver' => 'eloquent',那么就是通过EloquentUserProvider.php中的 retrieveByCredentials来验证的了，我们继续看看它都干了啥

illuminate/auth/EloquentUserProvider.php

class EloquentUserProvider implements UserProvider  {...... /**     * Retrieve a user by the given credentials.     *     * @param  array  $credentials     * @return \Illuminate\Contracts\Auth\Authenticatable|null     */    public function retrieveByCredentials(array $credentials)    {        // First we will add each credential element to the query as a where clause.        // Then we can execute the query and, if we found a user, return it in a        // Eloquent User "model" that will be utilized by the Guard instances.        $query = $this->createModel()->newQuery();        foreach ($credentials as $key => $value) {            if (! Str::contains($key, 'password')) {                $query->where($key, $value);            }        }        return $query->first();    }   /**     * Validate a user against the given credentials.     *     * @param  \Illuminate\Contracts\Auth\Authenticatable  $user     * @param  array  $credentials     * @return bool     */    public function validateCredentials(UserContract $user, array $credentials)    {        $plain = $credentials['password'];        return $this->hasher->check($plain, $user->getAuthPassword());    }    ......}

上面两个方法 retrieveByCredentials用除了密码以外的验证字段查看记录是否存在，比如用email来查找用户记录是否存在, 然后 validateCredentials方法就是通过 $this->hasher->check来将输入的密码和哈希的密码比较来验证密码是否正确， $plain是提交过来的为加密密码字符串， $user->getAuthPassword()是数据库记录存放的加密密码字符串。

好了，看到这里就很明显了，我们需要改成我们自己的密码验证不就是自己实现一下 validateCredentials方法就可以了吗，改变 $this->hasher->check为我们自己的密码验证就可以了，开始搞吧！

首先我们来实现 $user->getAuthPassword();把数据库中用户表的 salt和 password传递到 validateCredentials中来：

修改 App\Models\User.php 添加如下代码

  public function getAuthPassword()    {        return ['password' => $this->attributes['password'], 'salt' => $this->attributes['salt']];    }

然后我们建立一个自己的 UserProvider.php的实现，你可以放到任何地方，我放到自定义目录中：

新建 app/Foundation/Auth/RyanEloquentUserProvider.php

<?php namespace App\Foundation\Auth;use Illuminate\Auth\EloquentUserProvider;  use Illuminate\Contracts\Auth\Authenticatable;  use Illuminate\Support\Str;class RyanEloquentUserProvider extends EloquentUserProvider  {    /**     * Validate a user against the given credentials.     *     * @param  \Illuminate\Contracts\Auth\Authenticatable $user     * @param  array $credentials     * @return bool     */    public function validateCredentials(Authenticatable $user, array $credentials)    {        $plain = $credentials['password'];        $authPassword = $user->getAuthPassword();        return sha1($authPassword['salt'] . sha1($authPassword['salt'] . sha1($plain))) == $authPassword['password'];    }

我这里通过 $user->getAuthPassword();传递过来了用户记录的 salt和 password,然后将认证提交的密码 $plain和 salt进行加密，如果加密结果和用户数据库中记录的密码字符串匹配那么认证就通过了，当然加密的算法完全是自定义的。

最后我们将User Providers换成我们自己的 RyanEloquentUserProvider

修改 app/Providers/AuthServiceProvider.php

public function boot(GateContract $gate)      {        $this->registerPolicies($gate);        \Auth::provider('ryan-eloquent', function ($app, $config) {            return new RyanEloquentUserProvider($this->app['hash'], $config['model']);        });    }

修改 config/auth.php

 'providers' => [        'users' => [            'driver' => 'ryan-eloquent',            'model' => App\Models\User::class,        ],    ],

好了，再试试可以用过salt+passwrod的方式密码认证了！

转载请注明：转载自 Ryan是菜鸟 | LNMP技术栈笔记

如果觉得本篇文章对您十分有益，何不打赏一下

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP的當前狀態：查看網絡開發趨勢Apr 13, 2025 am 12:20 AM

PHP在現代Web開發中仍然重要，尤其在內容管理和電子商務平台。 1)PHP擁有豐富的生態系統和強大框架支持，如Laravel和Symfony。 2)性能優化可通過OPcache和Nginx實現。 3)PHP8.0引入JIT編譯器，提升性能。 4)雲原生應用通過Docker和Kubernetes部署，提高靈活性和可擴展性。

PHP與其他語言：比較Apr 13, 2025 am 12:19 AM

PHP適合web開發，特別是在快速開發和處理動態內容方面表現出色，但不擅長數據科學和企業級應用。與Python相比，PHP在web開發中更具優勢，但在數據科學領域不如Python；與Java相比，PHP在企業級應用中表現較差，但在web開發中更靈活；與JavaScript相比，PHP在後端開發中更簡潔，但在前端開發中不如JavaScript。

PHP與Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有優勢，適合不同場景。 1.PHP適用於web開發，提供內置web服務器和豐富函數庫。 2.Python適合數據科學和機器學習，語法簡潔且有強大標準庫。選擇時應根據項目需求決定。

PHP：網絡開發的關鍵語言Apr 13, 2025 am 12:08 AM

PHP是一種廣泛應用於服務器端的腳本語言，特別適合web開發。 1.PHP可以嵌入HTML，處理HTTP請求和響應，支持多種數據庫。 2.PHP用於生成動態網頁內容，處理表單數據，訪問數據庫等，具有強大的社區支持和開源資源。 3.PHP是解釋型語言，執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時，可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

PHP：許多網站的基礎Apr 13, 2025 am 12:07 AM

PHP成為許多網站首選技術棧的原因包括其易用性、強大社區支持和廣泛應用。 1)易於學習和使用，適合初學者。 2)擁有龐大的開發者社區，資源豐富。 3)廣泛應用於WordPress、Drupal等平台。 4)與Web服務器緊密集成，簡化開發部署。

超越炒作：評估當今PHP的角色Apr 12, 2025 am 12:17 AM

PHP在現代編程中仍然是一個強大且廣泛使用的工具，尤其在web開發領域。 1)PHP易用且與數據庫集成無縫，是許多開發者的首選。 2)它支持動態內容生成和麵向對象編程，適合快速創建和維護網站。 3)PHP的性能可以通過緩存和優化數據庫查詢來提升，其廣泛的社區和豐富生態系統使其在當今技術棧中仍具重要地位。