CakePHP - Comment puis-je mettre en œuvre blowfish hachage de mots de passe?

Du mal à trouver des réponses à quelques questions de base sur l'utilisation de Blowfish en Gâteau 2.4.

AppController.php

public $components = array(
    'Auth' => array(
        'authenticate' => array(
            'Form' => array(
                'fields' => array(
                    'username' => 'email'
                ),
                'passwordHasher' => 'Blowfish'
            )
        )
    ),
    'Cookie',
    'Session'
);

Quoi maintenant? Comment faire pour me connecter?

UsersController.php

public function login() {

    if (!empty($this->request->data)) {

        if ($this->Auth->login()) {
            $this->redirect($this->Auth->redirectUrl());
        }

    }
}

De quoi ai-je besoin d'ajouter à cela? J'obtiens l'erreur suivante si j'essaie de me connecter:

Avertissement (512): Invalide de sel: pour blowfish, Veuillez visiter http://www.php.net/crypt et lisez la section appropriée pour la construction de blowfish sels. [CORE/Cake/Utility/Security.php ligne 285]

Ai-je besoin de saler le mot de passe avant de tenter de connexion, et si oui, quelle méthode dois-je utiliser et quelle est la meilleure chose à utiliser pour le sel? Ne Gâteau automatiquement essayer d'utiliser le sel de la core.php fichier de configuration pour tous les utilisateurs?

Je suis confondu parce que je ne sais pas quelles sont les parties de l'aide blowfish dans une norme manière de PHP, CakePHP est d'essayer de le faire automatiquement pour moi.

  • Je vais avoir ce problème aussi. Avez-vous jamais le résoudre?
InformationsquelleAutor BadHorsie | 2014-01-14
  1. 9

    Vous ne pouvez pas utiliser Blowfish si vous disposez déjà d'une base de données remplie avec des mots de passe hashé en utilisant une autre méthode. Si oui, ils ne seront pas valides Blowfish-les mots de passe hachés et vous obtiendrez l'erreur ci-dessus.

    En termes de mise en œuvre de Blowfish pour le hachage de mot de passe dans une application CakePHP, le livre de cuisine a une section dédiée à l'aide de bcrypt (Blowfish) dans l'authentification: http://book.cakephp.org/2.0/en/core-libraries/components/authentication.html#using-bcrypt-for-passwords

    Vous configurer les composants de la matrice comme vous l'avez fait:

    <?php
class AppController {

    public $components = array(
        'Auth' => array(
            'authenticate' => array(
                'Form' => array(
                    'passwordHasher' => 'Blowfish'
                )
            )
        )
    );
}

    Puis de générer un mot de passe, vous utilisez le mot de passe hasher classe dans un modèle. Par exemple, un User modèle:

    <?php
App::uses('BlowfishPasswordHasher', 'Controller/Component/Auth');

class User extends AppModel {

    public function beforeSave($options = array()) {
        //if ID is not set, we're inserting a new user as opposed to updating
        if (!$this->id) {
            $passwordHasher = new BlowfishPasswordHasher();
            $this->data[$this->alias]['password'] = $passwordHasher->hash($this->data[$this->alias]['password']);
        }
        return true;
    }
}

    Alors d'authentifier vous n'avez pas vraiment besoin de faire quelque chose, comme CakePHP d'authentification gestionnaire fera le mot de passe compare pour vous:

    <?php
class UsersController extends AppController {

    public function login() {
        if ($this->request->is('post')) {
            if ($this->Auth->login()) {
                return $this->redirect($this->Auth->redirectUrl());
            } else {
                $this->Session->setFlash( __('Username or password incorrect'));
            }
        }
    }
}

    Et c'est tout là est à lui.

    • if (!$this->id) {} est assez peu conventionnel. Je ne recommanderais pas cette approche. surtout si vous aussi vous voulez fournir des fonctionnalités pour l'utilisateur d'être en mesure de changer son mot de passe. À l'aide !empty() convient le mieux ici. Voir ici.
    • Votre exemple n'a pas vraiment de rien ajouter à ce que j'ai, que les utilisateurs ne peuvent pas s'inscrire eux-mêmes, donc il n'y a pas de création d'un utilisateur par eux. Comment devrais-je conserver le hachage de mot de passe dans la base de données? Qui datatype/longueur?
    • En effet, mais j'ai eu un problème où, si je l'ai récupéré User dossiers, puis les a sauvés, si le mot de passe est entré dans le jeu de résultats (c'est à dire avec un find('all') appel) puis le mot de passe a été re-haché, juste parce qu'il était présent, donc !empty() n'ai pas le couper.
    • Vous devez mettre en œuvre une action de contrôleur pour ajouter un utilisateur. Ont un champ dans le formulaire de mot de passe ($this->Form->input('User.password');) et CakePHP va faire le reste. Comme pour la base de données de type de colonne: CHAR(60).
    InformationsquelleAutor Martin Bean
  2. 1

    J'ai un plus pour tous avec le même problème:
    J'ai sauvé le blowfish-de hachage comme VARCHAR(50) qui est trop court, dans certains cas. Causée par la présente, ma connexion ne fonctionne pas parce que le hachage a été mauvais. Veuillez vous assurer d'utiliser des champs adéquats longueur (pour Blowfish au moins VARCHAR(123) ).
    Source

    InformationsquelleAutor Michael Wagner
  3. 0

    J'ai couru dans des problèmes similaires quand j'ai essayé de porter un projet de 1.3.x 2.7.x. J'ai commencé avec la base de données complète (porté à partir de MySQL à PostgreSQL dans le même processus), mais très vide applications CakePHP.
    Le problème était que les mots de passe hachés dans ma table des utilisateurs est venu de CakePHP 1.x. Donc, les valeurs de hachage dans le tableau n'ont pas suivi Blowfish conventions. C'est ce qui déclenche le message d'erreur. Blowfish hachages de suivre un compliquer format. Par la voie,répété des tables de hachage de la même chaîne sera différent.

    Solution:

    1. Changer les mots de passe de la colonne dans la table des utilisateurs de type VARCHAR(128)
      (ou plus).
    2. Vide de la colonne.
    3. Générer valide de hachage pour la première
      ouverture de session.

    Afin de faire le dernier, j'ai inséré les lignes suivantes dans le UsersController.php:

    public function login() {
  if ...
  //code for getting a start password:
  $passwordHasher = new BlowfishPasswordHasher();
  $mypasswd = $passwordHasher->hash('MyPasswordinClearText');
  debug($mypasswd);
  //end inserted code
  ...
}

    Très rudimentaire, mais efficace. Maintenant, je pouvais connecter à continuer de développer dans le même projet. Supprimer le code une fois que vous pouvez vous connecter.

    InformationsquelleAutor Martin Biermann