Laravel 9 拒絕使用 bcrypt 雜湊的有效密碼
我花了幾天時間對 Laravel 9 中某些密碼驗證失敗進行故障排除。密碼 testperson 解析為雜湊值 $2y$10$5xc/wAmNCKV.YhpWOfyNoetCj/r3Fs5TyAskgZuIF/LEItWfm7rPW。對應資料庫表的直接查詢可確認這是正確的雜湊值。然而 Laravel 的身份驗證基礎設施拒絕此密碼並拒絕身份驗證。
這並不普遍。我有多個可以正確解析的密碼。例如,密碼 eo 解析為 $2y$10$uNWYvMVmagIwQ2eXnVKLCOAK1QFQdcRtxbvlghf.Xpg0U1w.N./N2,且 Laravel 會驗證該密碼。相同的機制會建立這兩個使用者記錄,儘管它們具有不同的權限(由記錄上的布林值指示)。
我找到了函數 password_verify 的錯誤,該函數被確定為在此 Stack Overflow 問題和此 Treehouse 線程中傳回漏報。
具體來說,這是 Laravel 中出現此故障點的堆疊:
login路由透過控制器類別呼叫\Illuminate\Foundation\Auth\AuthenticatesUsers::login。login方法呼叫\Illuminate\Foundation\Auth\AuthenticatesUsers::attemptLogin。attemptLogin方法呼叫控制器守衛物件的attempt方法。\Illuminate\Auth\SessionGuard::attempt呼叫\Illuminate\Auth\SessionGuard::hasValidCredentials。\Illuminate\Auth\SessionGuard::hasValidCredentials呼叫守衛提供者物件上的validateCredentials方法。Illuminate\Auth\EloquentUserProvider::validateCredentials在其 hasher 物件上呼叫check方法。Illuminate\Hashing\HashManager::check在其驅動程式上呼叫check方法。Illuminate\Hashing\BcryptHasher::check呼叫Illuminate\Hashing\AbstractHasher::check。Illuminate\Hashing\AbstractHasher::check呼叫password_verify。
展開整個堆疊後,我在登入控制器的 login 方法中執行以下程式碼:
$provider = $this->guard()->getProvider();
$credentials = $this->credentials($request);
$user = $provider->retrieveByCredentials($credentials);
$password_unhashed = $request['password'];
$password_hashed = $user->getAuthPassword();
$password_verify = password_verify($password_unhashed, $password_hashed);
logger('attemping login', compact('password_verify','password_unhashed','password_hashed'));
轉儲此上下文:
{
"password_verify": false,
"password_unhashed": "testperson",
"password_hashed": "yxc/wAmNCKV.YhpWOfyNoetCj/r3Fs5TyAskgZuIF/LEItWfm7rPW"
}
如果我將該密碼放入 SELECT users WHERE password= 查詢中,我就會得到我期望的用戶。
這是怎麼回事?我該如何解決這個問題?
