CakePHP - 如何为密码实现blowfish哈希?

时间:2014-01-14 12:41:32

标签: cakephp cakephp-2.0 blowfish cakephp-2.4

努力寻找关于在Cake 2.4中使用Blowfish的一些基本问题的答案。

AppController.php 

public $components = array(
    'Auth' => array(
        'authenticate' => array(
            'Form' => array(
                'fields' => array(
                    'username' => 'email'
                ),
                'passwordHasher' => 'Blowfish'
            )
        )
    ),
    'Cookie',
    'Session'
);

现在怎么办?我如何登录?

UsersController.php 

public function login() {

    if (!empty($this->request->data)) {

        if ($this->Auth->login()) {
            $this->redirect($this->Auth->redirectUrl());
        }

    }
}

我需要添加什么?如果我尝试登录,则会出现以下错误:

警告(512): 无效盐:对于河豚请访问http://www.php.net/crypt并阅读有关建造河豚盐的相应部分。 [CORE / Cake / Utility / Security.php,第285行]

在尝试登录之前是否需要对密码进行加密?如果是,我使用哪种方法以及使用盐最好的方法是什么? Cake会自动尝试为所有用户使用 core.php 配置文件中的salt吗?

我很困惑主要是因为我不知道CakePHP正在尝试自动为我做标准PHP方式使用blowfish的哪些部分。

3 个答案:

答案 0 :(得分:9)

如果您已经使用其他方法填充了密码哈希数据库,则无法使用Blowfish。如果是这样,它们将不是有效的Blowfish哈希密码,您将收到上述错误。

在CakePHP应用程序中实现Blowfish进行密码散列方面,Cookbook有一个关于在身份验证中使用bcrypt(Blowfish)的专门章节:http://book.cakephp.org/2.0/en/core-libraries/components/authentication.html#using-bcrypt-for-passwords

您可以像以前一样设置components数组:

<?php
class AppController {

    public $components = array(
        'Auth' => array(
            'authenticate' => array(
                'Form' => array(
                    'passwordHasher' => 'Blowfish'
                )
            )
        )
    );
}

然后要生成密码,您将在模型中使用密码hasher类。例如,User模型:

<?php
App::uses('BlowfishPasswordHasher', 'Controller/Component/Auth');

class User extends AppModel {

    public function beforeSave($options = array()) {
        // if ID is not set, we're inserting a new user as opposed to updating
        if (!$this->id) {
            $passwordHasher = new BlowfishPasswordHasher();
            $this->data[$this->alias]['password'] = $passwordHasher->hash($this->data[$this->alias]['password']);
        }
        return true;
    }
}

然后要进行身份验证,您不需要做任何事情,因为CakePHP的身份验证处理程序将为您进行比较:

<?php
class UsersController extends AppController {

    public function login() {
        if ($this->request->is('post')) {
            if ($this->Auth->login()) {
                return $this->redirect($this->Auth->redirectUrl());
            } else {
                $this->Session->setFlash( __('Username or password incorrect'));
            }
        }
    }
}

这就是它的全部内容。

答案 1 :(得分:1)

我为所有人提供了同样问题的补充: 我将blowfish-hash保存为VARCHAR(50),在某些情况下它太短了。由此导致我的登录无效,因为哈希是错误的。请确保使用足够长度的字段(对于Blowfish至少为VARCHAR(123))。 Source

答案 2 :(得分:0)

当我尝试将项目从1.3.x移植到2.7.x时,我遇到了类似的问题。我从完整的数据库开始(在同一个进程中从MySQL移植到PostgreSQL)但是一个非常空的CakePHP应用程序。 问题是我的users表中的哈希密码来自CakePHP 1.x.因此表中的哈希值并不遵循Blowfish惯例。这是触发错误消息的。 Blowfish哈希遵循复杂的格式。顺便说一句,相同字符串的重复哈希值会有所不同。

解决方案:

  1. 将users表中的密码列更改为VARCHAR(128)     (或者更多)。
  2. 清空列。
  3. 为第一个生成有效哈希     登录。

    4. 为了做后者,我在UsersController.php中插入了以下行:

    public function login() {
  if ...
  // code for getting a start password:
  $passwordHasher = new BlowfishPasswordHasher();
  $mypasswd = $passwordHasher->hash('MyPasswordinClearText');
  debug($mypasswd);
  // end inserted code
  ...
}

    非常粗糙但有效。现在我可以登录继续在同一个项目中开发。一旦您可以登录,请删除代码。

相关问题
最新问题