使用Vanilla论坛使用Cookie对用户进行身份验证

时间:2013-03-08 12:18:09

标签: authentication cookies

我在我的网站mydomain.com/forums上运行了一个论坛,该论坛使用的是Vanilla框架。

但是,我希望在该论坛上注册的用户能够在我的网站的其他页面上发表评论,请访问mydomain.com/blog。因此,我需要一种检查用户是否已登录的方法,如果没有,则需要一种向他们提供Vanilla登录框的方法。

My Vanilla Code根本不在我的博客页面上,所以我需要一些额外的脚本。经过大量挖掘后,我在网上找到了https://gist.github.com/lincolnwebs/700805,如果登录则会给出user_id,如果没有登录就会给出0。所以看起来效果很好,因为我不需要包含整个vanilla框架

脚本似乎正在检查用户浏览器上cookie的值。有人可以伪造cookie的价值并获取对某人帐户的访问权吗?

作为一个相对新手,有人可以解释这是否是一种安全可靠的方式来验证用户是否已登录?我花了很长时间才找到它,它似乎被隐藏起来/没有被公开。此外,脚本不是100%完美,因为它在静态函数中使用$ this。

由于

<?php
/**
 * @copyright Vanilla Forums Inc.
 * @license GNU GPL2
 */

/**
 * Instantiating this class will store current user's ID from cookie as $this->UserID.
 */
class VanillaIdentity {

   # Copy these from Vanilla config
   public $CookieName = 'Vanilla';
   public $CookieSalt = ''; 
   public $CookieHashMethod = 'md5';
   public $UserID = 0;

   /**
    * Returns the unique id assigned to the user in the database (retrieved
    * from the session cookie if the cookie authenticates) or FALSE if not
    * found or authentication fails.
    *
    * @return int
    */
   public function __construct() {         
      if (!$this->_CheckCookie($this->CookieName)) return 0;

      list($UserID, $Expiration) = $this->GetCookiePayload($this->CookieName);

      if (!is_numeric($UserID) || $UserID < -2) // allow for handshake special id
         $this->UserID = 0;
      else
         $this->UserID = $UserID;
   }

   public static function GetCookiePayload($CookieName) {
      if (!self::CheckCookie($CookieName)) return FALSE;

      $Payload = explode('|', $_COOKIE[$CookieName]);

      // Get rid of check fields like HashKey, HMAC and Time
      array_shift($Payload);
      array_shift($Payload);
      array_shift($Payload);

      return $Payload;
   }

   protected function _CheckCookie($CookieName) {
      return self::CheckCookie($CookieName);
   }

   public static function CheckCookie($CookieName) {

      if (empty($_COOKIE[$CookieName])) {
         return FALSE;
      }

      $CookieHashMethod = $this->CookieHashMethod;
      $CookieSalt = $this->CookieSalt;

      $CookieData = explode('|', $_COOKIE[$CookieName]);
      if (count($CookieData) < 5) {
         return FALSE;
      }

      list($HashKey, $CookieHash, $Time, $UserID, $Expiration) = $CookieData;
      if ($Expiration < time() && $Expiration != 0) {
         return FALSE;
      }

      $Key = self::_Hash($HashKey, $CookieHashMethod, $CookieSalt);
      $GeneratedHash = self::_HashHMAC($CookieHashMethod, $HashKey, $Key);

      if ($CookieHash != $GeneratedHash) {
         return FALSE;
      }

      return TRUE;
   }

   /**
    * Returns $this->_HashHMAC with the provided data, the default hashing method
    * (md5), and the server's COOKIE.SALT string as the key.
    *
    * @param string $Data The data to place in the hash.
    */
   protected static function _Hash($Data, $CookieHashMethod, $CookieSalt) {
      return Gdn_CookieIdentity::_HashHMAC($CookieHashMethod, $Data, $CookieSalt);
   }

   /**
    * Returns the provided data hashed with the specified method using the
    * specified key.
    *
    * @param string $HashMethod The hashing method to use on $Data. Options are MD5 or SHA1.
    * @param string $Data The data to place in the hash.
    * @param string $Key The key to use when hashing the data.
    */
   protected static function _HashHMAC($HashMethod, $Data, $Key) {
      $PackFormats = array('md5' => 'H32', 'sha1' => 'H40');

      if (!isset($PackFormats[$HashMethod]))
         return false;

      $PackFormat = $PackFormats[$HashMethod];
      // this is the equivalent of "strlen($Key) > 64":
      if (isset($Key[63]))
         $Key = pack($PackFormat, $HashMethod($Key));
      else
         $Key = str_pad($Key, 64, chr(0));

      $InnerPad = (substr($Key, 0, 64) ^ str_repeat(chr(0x36), 64));
      $OuterPad = (substr($Key, 0, 64) ^ str_repeat(chr(0x5C), 64));

      return $HashMethod($OuterPad . pack($PackFormat, $HashMethod($InnerPad . $Data)));
   }

}

1 个答案:

答案 0 :(得分:2)

我不是Vanilla和JavaScript专家。我非常了解HTTP身份验证和SSO,我将尝试澄清您的一些问题。

首先,在HTTP身份验证之后,应用程序将用户cookie设置为浏览器。 下次请求时,浏览器会向服务器发送cookie。请注意,在cookie集合中使用的路径是重要的。如果路径为“/”,则浏览器会将cookie发送到服务器上的所有应用程序。

cookie可以被劫持并用于访问应用程序。请注意,黑客可能无法解密cookie - 只需使用它即可。请参阅以下链接:https://www.owasp.org/index.php/Session_hijacking_attack。要防止会话被劫持,您可以使用HTTPS。

解决您需要的问题 1)对mydomain.com/forums和mydomain.com/blog使用相同的用户存储库 在这种情况下,用户“bob”将是两个应用程序的同一用户。 2)确保Vanilla使用路径“/”设置cookie 在这种情况下,浏览器会为mydomain.com/forums和mydomain.com/blog发送cookie。

我找到了以下Vanilla插件 - 它可以完全解决您的问题: http://vanillaforums.org/page/SingleSignOn

希望它有所帮助。如果您需要任何其他说明,请发表评论。