我尝试将HybridAuth应用到我现有的Web应用程序中,该应用程序使用经典的电子邮件+密码注册和登录,但我仍然不明白我应该如何使用HybridAuth对用户进行身份验证。
我现有的身份验证系统
在我现有的登录系统中,想要登录的注册用户将他的电子邮件和密码发送到服务器。如果电子邮件和密码正确(我没有以明文形式存储用户密码,但密码验证过程与此问题无关),则服务器会创建用户加密密码和随机密钥的哈希值。此哈希存储在 cookie 中,还用于创建包含之前创建的哈希,用户的电子邮件和IP地址全部哈希的身份验证代码。身份验证代码存储在用户的会话。
中当登录的用户尝试访问该站点时,服务器从其 cookie 获取哈希值,用他的电子邮件和IP地址对其进行哈希处理,并将其与存储在其中的身份验证代码进行比较之前的会话。如果代码匹配,则对用户进行身份验证,否则将用户重定向到登录页面。
新的HybridAuth系统
到目前为止,我只通过Facebook实现了登录。当新用户点击“通过Facebook登录”按钮时,服务器执行多个脚本,将用户重定向到Facebook,以便他可以授权我的应用程序,并使用用户的Facebook个人资料中的一些信息在数据库中创建新的用户记录。此时,用户已注册并登录。
当此用户尝试与我的应用互动时,我必须以某种方式验证他的身份。我使用这段代码:
if ($_SESSION['facebook_connected'] == true) {
try {
// try social login
$config = PUBLIC_ROOT . 'handlers/hybridauth/config.php';
require_once(PUBLIC_ROOT . 'handlers/hybridauth/Hybrid/Auth.php');
$hybridauth = new Hybrid_Auth($config);
$adapter = $hybridauth->authenticate('Facebook');
/* check if the user is registered
*
* ...
*
*/
return true;
} catch (Exception $e) {
return false;
}
}
当此代码返回true时,将对用户进行身份验证。
每次我使用社交认证向我的应用发送请求时,Web浏览器必须等待大约1-2秒才能收到请求的网页/数据。当我使用电子邮件+密码验证时,网页几乎是即时服务器。
这让我觉得HybridAuth每次想要对用户进行身份验证时都必须与Facebook服务器通信,这非常慢。
我的问题是:HybridAuth可以为通过Facebook登录的用户创建某种身份验证cookie,并在每次发送请求时安全地对他进行身份验证,而无需与Facebook通信吗?
很抱歉,我想解释一下我的整个身份验证系统,因为可能它的整个想法是错误/不安全/过时的,我必须做一些更改才能有效地使用它与HybridAuth。
附注:HybridAuth文档非常糟糕。
答案 0 :(得分:1)
您可以使用HybridAuth登录用户,将信息存储在您的应用程序中,并使用该信息编写您自己的身份验证系统。
使用这种方法,HibridAuth只需要与facebook通信登录,而且您可以使用自己的系统验证用户的身份,避免无用的Facebook连接
答案 1 :(得分:1)
将此列添加到您的mysql用户表
CREATE TABLE `users` (
`id` INT(11) NOT NULL AUTO_INCREMENT,
`password` VARCHAR(250) NOT NULL,
`name` VARCHAR(60) NOT NULL,
`email` VARCHAR(250) NULL DEFAULT NULL,
`mobile` VARCHAR(50) NULL DEFAULT NULL,
`active` TINYINT(4) NOT NULL DEFAULT '0',
`gender` VARCHAR(50) NOT NULL DEFAULT '0',
`img` TEXT NULL,
`date_joined` DATE NOT NULL,
`facebook` INT(11) NOT NULL DEFAULT '0',
`fidentifier` VARCHAR(500) NULL DEFAULT NULL,
`fprofileURL` VARCHAR(500) NULL DEFAULT NULL,
`fphotoURL` VARCHAR(500) NULL DEFAULT NULL,
`fdisplayName` VARCHAR(500) NULL DEFAULT NULL,
`ffirstName` VARCHAR(500) NULL DEFAULT NULL,
`flastName` VARCHAR(500) NULL DEFAULT NULL,
`fgender` VARCHAR(50) NULL DEFAULT NULL,
`flanguage` VARCHAR(50) NULL DEFAULT NULL,
`femailVerified` VARCHAR(500) NULL DEFAULT NULL,
`fcoverInfoURL` VARCHAR(800) NULL DEFAULT NULL,
PRIMARY KEY (`id`)
)
COLLATE='utf8_general_ci'
ENGINE=InnoDB
;
然后创建php文件facebook.php
<?php
include 'sql.php';
function generateRandomString($length = 10) {
$characters = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ123456789';
$charactersLength = strlen($characters);
$randomString = '';
for ($i = 0; $i < $length; $i++) {
$randomString .= $characters[rand(0, $charactersLength - 1)];
}
return $randomString;
}
$config = array(
"base_url" => "https://yourdomain.com/handlers/hybridauth/",
"providers" => array (
"Facebook" => array (
"enabled" => true,
"keys" => array ( "id" => "YOUR_ID", "secret" => "YOUR_SECRET" ),
"scope" => "email,public_profile",
"display" => "page"
)));
require_once( "handlers/hybridauth/Hybrid/Auth.php" );
try{
$hybridauth = new Hybrid_Auth( $config );
$adapter = $hybridauth->authenticate( "Facebook" );
$user_profile = $adapter->getUserProfile();
}
catch( Exception $e ){
$user_profile = "denied" ;
}
if ( $user_profile == "denied"){
?>
<script>
window.parent.location.href=("login.php?error=1");
</script>
<?php
}
else
{
$fidentifier= $user_profile->identifier;
$fprofileURL= $user_profile->profileURL;
$fphotoURL= $user_profile->photoURL;
$fdisplayName= $user_profile->displayName;
$ffirstName= $user_profile->firstName;
$flastName= $user_profile->lastName;
$fgender= $user_profile->gender;
$flanguage= $user_profile->language;
$femailVerified= $user_profile->emailVerified;
$fcoverInfoURL= $user_profile->coverInfoURL;
$femail= $user_profile->email;
$fphone= $user_profile->phone;
$sqlc = "SELECT * FROM users WHERE fidentifier='$fidentifier' AND facebook=1";
$rs_result = $conn->query($sqlc);
if ($rs_result->num_rows == 1){
$row = $rs_result->fetch_assoc();
$_SESSION["user_id"] = $row["id"];
?>
<script>
window.parent.location.href=("profile.php");
</script>
<?php
}
else
{
$sqlc1 = "SELECT * FROM users WHERE (email='$femailVerified' OR email='$femail') AND facebook=0";
$rs_result1 = $conn->query($sqlc1);
if ($rs_result1->num_rows ==1){
$row1 = $rs_result1->fetch_assoc();
$ssid=$row1["id"];
$sql4 = "UPDATE users SET
fidentifier='$fidentifier',
fprofileURL='$fprofileURL',
fdisplayName='$fdisplayName',
name='$fdisplayName',
ffirstName='$ffirstName',
flastName='$flastName',
fgender='$fgender',
gender='$fgender',
email='$femail',
femailVerified='$femailVerified',
mobile='$fphone',
fcoverInfoURL='$fcoverInfoURL',
img='$fphotoURL',
active=1,
facebook=1
WHERE id=$ssid";
if ($conn->query($sql4) === TRUE) {
$_SESSION["user_id"] = $row1["id"];
?>
<script>
window.parent.location.href=("profile.php");
</script>
<?php
} else {
echo "Error: " . $sql4 . "<br>" . $conn->error;
}
}
else
{
$password=generateRandomString();
$sqlee = "INSERT INTO users (fidentifier,fprofileURL,fdisplayName,name,ffirstName,flastName,fgender,gender,email,femailVerified,mobile,fcoverInfoURL,img,active,facebook,password,date_joined)
VALUES ('$fidentifier','$fprofileURL','$fdisplayName','$fdisplayName','$ffirstName','$flastName',
'$fgender','$fgender','$femail','$femailVerified','$fphone','$fcoverInfoURL','$fphotoURL',1,1,'$password',NOW())";
if ($conn->query($sqlee) === TRUE) {
$lastid = $conn->insert_id;
$_SESSION["user_id"] = $lastid;
?>
<script>
window.parent.location.href=("profile.php");
</script>
<?php
}
else {
echo "Error: " . $sql . "<br>" . $conn->error;
}
}
}
}
?>
然后在您的网页中调用$ _SESSION [“user_id”],如下所示
<?php
if ($_SESSION["user_id"] != ""){$suserid=$_SESSION["user_id"];}else{$suserid="";}
?>
当您需要用户登录时,您可以使用类似这样的内容
<?php
if ($suserid !=""){
//do this like a login user
}
if ($suserid ==""){
echo "login to site by facebook <a href='facebook.php' >from here</a>";
}
?>
编辑:
不要忘记改变:
include 'sql.php'; //到你的mysql连接页面
"base_url" => "https://yourdomain.com/handlers/hybridauth/", //到您的域名hybridauth文件夹
"keys" => array ( "id" => "YOUR_ID", "secret" => "YOUR_SECRET" ), // YOUR_ID和YOUR_SECRET
答案 2 :(得分:1)
好的,所以你记录用户的策略是检查密码和电子邮件是否正确,然后将它们保存在会话中。使用社交登录时,您应检查电子邮件是否正确 - 如果正确:
所有请求都应作为常见请求处理,并且仅与社交提供商进行交互以进行第一次身份验证。