Laravel5.1自帶認證系統(tǒng)(Auth)改變加密方式帶來的思考

最近網(wǎng)站在進行重構,已經(jīng)敲定使用laravel 5.11.1 LTS進行重構鸠踪,這款框架的學習成本相對來說缔莲,還是較高,如果PHP知識不扎實的話扎唾,可能大部分時間都處于知其然不知其所以然的狀態(tài)召川,關于認證這一塊我也是摸索著看源碼才慢慢懂究竟怎么使用的。
初期遇到的問題如下:

  1. Auth認證加密方式的改變胸遇,舊版使用md5的加密方式荧呐,如何才能讓laravel轉(zhuǎn)換成md5認證。
  2. laravel認證的原理是怎么樣的纸镊。

其實本質(zhì)上這是兩個問題倍阐,也是一個問題,因為如果我明白了laravel是如何進行認證的逗威,基本也能改認證形式峰搪。

于是開始在各個地方尋找解決問題的方案,起手在google搜laravel md5凯旭,其實大部分人都不建議使用md5的方式來做用戶密碼的保存罢艾。于是慢慢的我的思路轉(zhuǎn)變?yōu)椋绻麑d5轉(zhuǎn)化為Bcrypt尽纽。

在網(wǎng)上搜了很多資料咐蚯,其實沒有特別的幫助我去理解這個認證系統(tǒng),大部分資料都只告訴了怎么做弄贿,于是就自己開始讀源碼了春锋。
vendor/laravel/framework/src/Illuminate/Auth/Guard.php下,認證系統(tǒng)的邏輯就在這里面差凹,登錄使用的函數(shù)源碼如下:

    /**
     * Attempt to authenticate a user using the given credentials.
     *
     * @param  array  $credentials
     * @param  bool   $remember
     * @param  bool   $login
     * @return bool
     */
    public function attempt(array $credentials = [], $remember = false, $login = true)
    {
        $this->fireAttemptEvent($credentials, $remember, $login);
        //下面這句對用戶名進行了驗證
        $this->lastAttempted = $user = $this->provider->retrieveByCredentials($credentials);

        // If an implementation of UserInterface was returned, we'll ask the provider
        // to validate the user against the given credentials, and if they are in
        // fact valid we'll log the users into the application and return true.
        if ($this->hasValidCredentials($user, $credentials)) {//這里對密碼進行了驗證期奔,因此要探究加密方式就要從這里看起
            if ($login) {
                $this->login($user, $remember);
            }

            return true;
        }

        return false;
    }

    /**
     * Determine if the user matches the credentials.
     *
     * @param  mixed  $user
     * @param  array  $credentials
     * @return bool
     */
    protected function hasValidCredentials($user, $credentials)
    {
        return ! is_null($user) && $this->provider->validateCredentials($user, $credentials);
    }

代碼寫得很漂亮侧馅,很容易看得懂,跟著作者的邏輯跑呐萌,在$this->provider->retrieveByCredentials($credentials);中馁痴,laravel驗證了用戶是否存在
驗證邏輯的實現(xiàn)在vendor/laravel/framework/src/Illuminate/Auth/EloquentUserProvider.php
源碼如下:

    /**
     * Retrieve a user by the given credentials.
     *
     * @param array $credentials
     *
     * @return \Illuminate\Contracts\Auth\Authenticatable|null
     */
    public function retrieveByCredentials(array $credentials)
    {
        // First we will add each credential element to the query as a where clause.
        // Then we can execute the query and, if we found a user, return it in a
        // Eloquent User "model" that will be utilized by the Guard instances.
        $query = $this->createModel()->newQuery();

        foreach ($credentials as $key => $value) {
            if (!Str::contains($key, 'password')) {
                $query->where($key, $value);
            }
        }

        return $query->first();
    }

    /**
     * Validate a user against the given credentials.
     *
     * @param \Illuminate\Contracts\Auth\Authenticatable $user
     * @param array                                      $credentials
     *
     * @return bool
     */
    public function validateCredentials(UserContract $user, array $credentials)
    {
        $plain = $credentials['password'];

        return $this->hasher->check($plain, $user->getAuthPassword());
    }

上面這兩個函數(shù)就不做贅述了,之后就是最關鍵的密碼認證方面了肺孤,密碼認證函數(shù)是寫在vendor/laravel/framework/src/Illuminate/Hashing/BcryptHasher
我們想要的check和make函數(shù)就在這里:

    /**
     * Hash the given value.
     *
     * @param string $value
     * @param array  $options
     *
     * @return string
     *
     * @throws \RuntimeException
     */
    public function make($value, array $options = [])
    {
        $cost = isset($options['rounds']) ? $options['rounds'] : $this->rounds;

        $hash = password_hash($value, PASSWORD_BCRYPT, ['cost' => $cost]);

        if ($hash === false) {
            throw new RuntimeException('Bcrypt hashing not supported.');
        }

        return $hash;
    }

    /**
     * Check the given plain value against a hash.
     *
     * @param string $value
     * @param string $hashedValue
     * @param array  $options
     *
     * @return bool
     */
    public function check($value, $hashedValue, array $options = [])
    {
        if (strlen($hashedValue) === 0) {
            return false;
        }
        
        return password_verify($value, $hashedValue);//關于這個函數(shù)可以直接搜索php password_verify罗晕。
    }

是的,沒錯赠堵,你可以直接修改這里來改變你的加密方式小渊,但是這種做法是不科學的,如果你沒有對這個框架爛熟于心茫叭,我不建議你直接對源碼進行修改酬屉!不建議!因為你并不知道改變源碼會對你的項目帶來什么影響揍愁!鑒于這個原因呐萨,以及我又很想使用laravel自帶的Auth認證系統(tǒng)(廢話,能省事怎么會不想用)莽囤。于是我打算改變加密策略谬擦,對我的密碼加密進行升級。具體的實現(xiàn)思路烁登,就是讓用戶先進行判斷用戶的密碼以及賬號是否正確,如果正確則將新版密碼替換舊版密碼存進數(shù)據(jù)庫蔚舀。然后進行用戶登錄赌躺。

      if ($user) {
            if (MD5Hasher::check($password,$user->user_password)){
                $user->user_password = Hash::make($password);
                $user->save();
            }
        }

思路大概如上礼患。
總體來說是钥,在用戶數(shù)量不是很多的情況下,這種方式還是可以接受的缅叠,日后用戶全部轉(zhuǎn)換回來之后悄泥,可以去除掉這一層檢查。關于如何檢查用戶是否全部升級完密碼肤粱,檢查密碼長度則可弹囚。

后記,這里必須提一個問題就是领曼,使用attempt登錄鸥鹉,laravel是直接在調(diào)用了getAuthPassword毁渗,里面返回的是this->password践磅,如果你數(shù)據(jù)庫里面的用戶表,密碼存儲的字段并不是password灸异,而是其他府适,例如mypassword,則在UserModel改寫`getAuthPassword`成`returnthis->mypassword`儡嘶。

添加多一種方法喇聊,如果你不想修改源碼,但是也想替換的話蹦狂,那么誓篱,你可以通過容器去解決這個問題,laravel的設計確實很巧妙凯楔。詳細你可以參考我的另外一篇文章窜骄。

最后編輯于
?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市摆屯,隨后出現(xiàn)的幾起案子邻遏,更是在濱河造成了極大的恐慌,老刑警劉巖虐骑,帶你破解...
    沈念sama閱讀 218,607評論 6 507
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件准验,死亡現(xiàn)場離奇詭異,居然都是意外死亡廷没,警方通過查閱死者的電腦和手機糊饱,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,239評論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來颠黎,“玉大人另锋,你說我怎么就攤上這事∠凉椋” “怎么了夭坪?”我有些...
    開封第一講書人閱讀 164,960評論 0 355
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長过椎。 經(jīng)常有香客問我台舱,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,750評論 1 294
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任竞惋,我火速辦了婚禮柜去,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘拆宛。我一直安慰自己嗓奢,他們只是感情好,可當我...
    茶點故事閱讀 67,764評論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布浑厚。 她就那樣靜靜地躺著股耽,像睡著了一般。 火紅的嫁衣襯著肌膚如雪钳幅。 梳的紋絲不亂的頭發(fā)上物蝙,一...
    開封第一講書人閱讀 51,604評論 1 305
  • 城市分裂傳說
    那天,我揣著相機與錄音敢艰,去河邊找鬼诬乞。 笑死,一個胖子當著我的面吹牛钠导,可吹牛的內(nèi)容都是我干的震嫉。 我是一名探鬼主播,決...
    沈念sama閱讀 40,347評論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼牡属,長吁一口氣:“原來是場噩夢啊……” “哼票堵!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起逮栅,我...
    開封第一講書人閱讀 39,253評論 0 276
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤悴势,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后措伐,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體特纤,經(jīng)...
    沈念sama閱讀 45,702評論 1 315
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,893評論 3 336
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年废士,在試婚紗的時候發(fā)現(xiàn)自己被綠了叫潦。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片蝇完。...
    茶點故事閱讀 40,015評論 1 348
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡官硝,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出短蜕,到底是詐尸還是另有隱情氢架,我是刑警寧澤,帶...
    沈念sama閱讀 35,734評論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布朋魔,位于F島的核電站岖研,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜孙援,卻給世界環(huán)境...
    茶點故事閱讀 41,352評論 3 330
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一害淤、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧拓售,春花似錦窥摄、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,934評論 0 22
  • 一樁弒父案崭放,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至鸽凶,卻和暖如春币砂,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背玻侥。 一陣腳步聲響...
    開封第一講書人閱讀 33,052評論 1 270
  • 情欲美人皮
    我被黑心中介騙來泰國打工决摧, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人使碾。 一個月前我還...
    沈念sama閱讀 48,216評論 3 371
  • 代替公主和親
    正文 我出身青樓蜜徽,卻偏偏與公主長得像,于是被迫代替她去往敵國和親票摇。 傳聞我的和親對象是個殘疾皇子拘鞋,可洞房花燭夜當晚...
    茶點故事閱讀 44,969評論 2 355

推薦閱讀更多精彩內(nèi)容