Laravel5.1自带认证系统(Auth)改变加密方式带来的思考

最近网站在进行重构,已经敲定使用laravel 5.11.1 LTS进行重构,这款框架的学习成本相对来说,还是较高,如果PHP知识不扎实的话,可能大部分时间都处于知其然不知其所以然的状态,关于认证这一块我也是摸索着看源码才慢慢懂究竟怎么使用的。
初期遇到的问题如下:

  1. Auth认证加密方式的改变,旧版使用md5的加密方式,如何才能让laravel转换成md5认证。
  2. laravel认证的原理是怎么样的。

其实本质上这是两个问题,也是一个问题,因为如果我明白了laravel是如何进行认证的,基本也能改认证形式。

于是开始在各个地方寻找解决问题的方案,起手在google搜laravel md5,其实大部分人都不建议使用md5的方式来做用户密码的保存。于是慢慢的我的思路转变为,如果将md5转化为Bcrypt。

在网上搜了很多资料,其实没有特别的帮助我去理解这个认证系统,大部分资料都只告诉了怎么做,于是就自己开始读源码了。
vendor/laravel/framework/src/Illuminate/Auth/Guard.php下,认证系统的逻辑就在这里面,登录使用的函数源码如下:

    /**
     * Attempt to authenticate a user using the given credentials.
     *
     * @param  array  $credentials
     * @param  bool   $remember
     * @param  bool   $login
     * @return bool
     */
    public function attempt(array $credentials = [], $remember = false, $login = true)
    {
        $this->fireAttemptEvent($credentials, $remember, $login);
        //下面这句对用户名进行了验证
        $this->lastAttempted = $user = $this->provider->retrieveByCredentials($credentials);

        // If an implementation of UserInterface was returned, we'll ask the provider
        // to validate the user against the given credentials, and if they are in
        // fact valid we'll log the users into the application and return true.
        if ($this->hasValidCredentials($user, $credentials)) {//这里对密码进行了验证,因此要探究加密方式就要从这里看起
            if ($login) {
                $this->login($user, $remember);
            }

            return true;
        }

        return false;
    }

    /**
     * Determine if the user matches the credentials.
     *
     * @param  mixed  $user
     * @param  array  $credentials
     * @return bool
     */
    protected function hasValidCredentials($user, $credentials)
    {
        return ! is_null($user) && $this->provider->validateCredentials($user, $credentials);
    }

代码写得很漂亮,很容易看得懂,跟着作者的逻辑跑,在$this->provider->retrieveByCredentials($credentials);中,laravel验证了用户是否存在
验证逻辑的实现在vendor/laravel/framework/src/Illuminate/Auth/EloquentUserProvider.php
源码如下:

    /**
     * Retrieve a user by the given credentials.
     *
     * @param array $credentials
     *
     * @return \Illuminate\Contracts\Auth\Authenticatable|null
     */
    public function retrieveByCredentials(array $credentials)
    {
        // First we will add each credential element to the query as a where clause.
        // Then we can execute the query and, if we found a user, return it in a
        // Eloquent User "model" that will be utilized by the Guard instances.
        $query = $this->createModel()->newQuery();

        foreach ($credentials as $key => $value) {
            if (!Str::contains($key, 'password')) {
                $query->where($key, $value);
            }
        }

        return $query->first();
    }

    /**
     * Validate a user against the given credentials.
     *
     * @param \Illuminate\Contracts\Auth\Authenticatable $user
     * @param array                                      $credentials
     *
     * @return bool
     */
    public function validateCredentials(UserContract $user, array $credentials)
    {
        $plain = $credentials['password'];

        return $this->hasher->check($plain, $user->getAuthPassword());
    }

上面这两个函数就不做赘述了,之后就是最关键的密码认证方面了,密码认证函数是写在vendor/laravel/framework/src/Illuminate/Hashing/BcryptHasher
我们想要的check和make函数就在这里:

    /**
     * Hash the given value.
     *
     * @param string $value
     * @param array  $options
     *
     * @return string
     *
     * @throws \RuntimeException
     */
    public function make($value, array $options = [])
    {
        $cost = isset($options['rounds']) ? $options['rounds'] : $this->rounds;

        $hash = password_hash($value, PASSWORD_BCRYPT, ['cost' => $cost]);

        if ($hash === false) {
            throw new RuntimeException('Bcrypt hashing not supported.');
        }

        return $hash;
    }

    /**
     * Check the given plain value against a hash.
     *
     * @param string $value
     * @param string $hashedValue
     * @param array  $options
     *
     * @return bool
     */
    public function check($value, $hashedValue, array $options = [])
    {
        if (strlen($hashedValue) === 0) {
            return false;
        }
        
        return password_verify($value, $hashedValue);//关于这个函数可以直接搜索php password_verify。
    }

是的,没错,你可以直接修改这里来改变你的加密方式,但是这种做法是不科学的,如果你没有对这个框架烂熟于心,我不建议你直接对源码进行修改!不建议!因为你并不知道改变源码会对你的项目带来什么影响!鉴于这个原因,以及我又很想使用laravel自带的Auth认证系统(废话,能省事怎么会不想用)。于是我打算改变加密策略,对我的密码加密进行升级。具体的实现思路,就是让用户先进行判断用户的密码以及账号是否正确,如果正确则将新版密码替换旧版密码存进数据库。然后进行用户登录。

      if ($user) {
            if (MD5Hasher::check($password,$user->user_password)){
                $user->user_password = Hash::make($password);
                $user->save();
            }
        }

思路大概如上。
总体来说,在用户数量不是很多的情况下,这种方式还是可以接受的,日后用户全部转换回来之后,可以去除掉这一层检查。关于如何检查用户是否全部升级完密码,检查密码长度则可。

后记,这里必须提一个问题就是,使用attempt登录,laravel是直接在调用了getAuthPassword,里面返回的是this->password,如果你数据库里面的用户表,密码存储的字段并不是password,而是其他,例如mypassword,则在UserModel改写`getAuthPassword`成`returnthis->mypassword`。

添加多一种方法,如果你不想修改源码,但是也想替换的话,那么,你可以通过容器去解决这个问题,laravel的设计确实很巧妙。详细你可以参考我的另外一篇文章

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 199,830评论 5 468
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 83,992评论 2 376
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 146,875评论 0 331
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 53,837评论 1 271
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 62,734评论 5 360
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,091评论 1 277
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,550评论 3 390
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,217评论 0 254
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,368评论 1 294
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,298评论 2 317
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,350评论 1 329
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,027评论 3 315
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,623评论 3 303
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,706评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,940评论 1 255
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,349评论 2 346
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 41,936评论 2 341

推荐阅读更多精彩内容