巅云智能建站平台搭建版(创业门户版)火爆上线,终身授权!新增:文章智能采集+全站真静态打包+城市分站+智能小程序+非法词过滤+H5自适应+智能链词等功能功能详情
帮助文档Help

通过修改Laravel Auth使用salt和password进行认证用户详解

nba篮球竞彩分析互联网站制作(www.slreporter.com) 发布日期 2019-04-25 14:41:30 浏览数: 120

前言

本文主要给大家介绍了通过修改Laravel Auth用salt和password进行认证用户的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍:

Laraval自带的用户认证系统Auth非常强大易用,不过在Laravel的用户认证系统中用户注册、登录、找回密码这些??橹杏玫矫苈爰用芎腿现に惴ㄊ笔褂玫亩际莃crypt,而很多之前做的项目用户表里都是采用存储salt + password加密字符串的方式来记录用户的密码的,这就给使用Laravel框架来重构之前的项目带来了很大的阻力,不过最近自己通过在网上找资料、看社区论坛、看源码等方式完成了对Laravel Auth的修改,在这里分享出来希望能对其他人有所帮助。 开篇之前需要再说明下如果是新项目应用Laravel框架,那么不需要对Auth进行任何修改,默认的bcrypt加密算法是比salt + password更安全更高效的加密算法。

修改用户注册

首先,在laravel 里启用验证是用的artisan命令

php artisan make:auth

执行完命令后在routes文件(位置:app/Http/routes.php)会多一条静态方法调用

Route::auth();

这个Route是Laravel的一个Facade (位于IlluminateSupportFacadesRoute), 调用的auth方法定义在IlluminateRoutingRouter类里, 如下可以看到auth方法里就是定义了一些Auth相关的路由规则

/**
 * Register the typical authentication routes for an application.
 *
 * @return void
 */
public function auth()
{
 // Authentication Routes...
 $this->get("login", "AuthAuthController@showLoginForm");
 $this->post("login", "AuthAuthController@login");
 $this->get("logout", "AuthAuthController@logout");

 // Registration Routes...
 $this->get("register", "AuthAuthController@showRegistrationForm");
 $this->post("register", "AuthAuthController@register");

 // Password Reset Routes...
 $this->get("password/reset/{token?}", "AuthPasswordController@showResetForm");
 $this->post("password/email", "AuthPasswordController@sendResetLinkEmail");
 $this->post("password/reset", "AuthPasswordController@reset");
}

通过路由规则可以看到注册时请求的控制器方法是AuthController的register方法, 该方法定义在IlluminateFoundationAuthRegistersUsers这个traits里,AuthController在类定义里引入了这个traits.

/**
 * Handle a registration request for the application.
 *
 * @param IlluminateHttpRequest $request
 * @return IlluminateHttpResponse
 */
public function register(Request $request)
{
 $validator = $this->validator($request->all());

 if ($validator->fails()) {
 $this->throwValidationException(
  $request, $validator
 );
 }

 Auth::guard($this->getGuard())->login($this->create($request->all()));

 return redirect($this->redirectPath());
}

在register方法里首先会对request里的用户输入数据进行验证,你只需要在AuthController的validator方法里定义自己的每个输入字段的验证规则就可以

protected function validator(array $data)
{
 return Validator::make($data, [
 "name" => "required|max:255",
 "email" => "required|email|max:255|unique:user",
 "password" => "required|size:40|confirmed",
 ]);
}

接着往下看验证通过后,Laravel会掉用AuthController的create方法来生成新用户,然后拿着新用户的数据去登录Auth::guard($this->getGuard())->login($this->create($request->all()));

所以nba篮球竞彩分析要自定义用户注册时生成用户密码的加密方式只需要修改AuthController的create方法即可。

比如:

/**
 * Create a new user instance after a valid registration.
 *
 * @param array $data
 * @return User
 */
protected function create(array $data)
{
 $salt = Str::random(6);
 return User::create([
 "nickname" => $data["name"],
 "email" => $data["email"],
 "password" => sha1($salt . $data["password"]),
 "register_time" => time(),
 "register_ip" => ip2long(request()->ip()),
 "salt" => $salt
 ]);
}

修改用户登录

修改登录前nba篮球竞彩分析需要先通过路由规则看一下登录请求的具体控制器和方法,在上文提到的auth方法定义里可以看到

 $this->get("login", "AuthAuthController@showLoginForm");
 $this->post("login", "AuthAuthController@login");
 $this->get("logout", "AuthAuthController@logout");

验证登录的操作是在AppHttpControllersAuthAuthController类的login方法里。打开AuthController发现Auth相关的方法都是通过性状(traits)引入到类内的,在类内use 要引入的traits,在编译时PHP就会把traits里的代码copy到类中,这是PHP5.5引入的特性具体适用场景和用途这里不细讲。 所以AuthController@login方法实际是定义在
IlluminateFoundationAuthAuthenticatesUsers这个traits里的

/**
 * Handle a login request to the application.
 *
 * @param IlluminateHttpRequest $request
 * @return IlluminateHttpResponse
 */
public function login(Request $request)
{
 $this->validateLogin($request);
 $throttles = $this->isUsingThrottlesLoginsTrait();

 if ($throttles && $lockedOut = $this->hasTooManyLoginAttempts($request)) {
 $this->fireLockoutEvent($request);

 return $this->sendLockoutResponse($request);
 }

 $credentials = $this->getCredentials($request);

 if (Auth::guard($this->getGuard())->attempt($credentials, $request->has("remember"))) {
 return $this->handleUserWasAuthenticated($request, $throttles);
 }

 if ($throttles && ! $lockedOut) {
 $this->incrementLoginAttempts($request);
 }

 return $this->sendFailedLoginResponse($request);
}

登录验证的主要操作是在Auth::guard($this->getGuard())->attempt($credentials, $request->has("remember"));这个方法调用中来进行的,Auth::guard($this->getGuard()) 获取到的是IlluminateAuthSessionGuard (具体如何获取的看Auth这个Facade IlluminateAuthAuthManager里的源码)

看一下SessionGuard里attempt 方法是如何实现的:

public function attempt(array $credentials = [], $remember = false, $login = true)
{
 $this->fireAttemptEvent($credentials, $remember, $login);

 $this->lastAttempted = $user = $this->provider->retrieveByCredentials($credentials);

 if ($this->hasValidCredentials($user, $credentials)) {
 if ($login) {
  $this->login($user, $remember);
 }

 return true;
 }

 if ($login) {
 $this->fireFailedEvent($user, $credentials);
 }

 return false;
}

/**
 * Determine if the user matches the credentials.
 *
 * @param mixed $user
 * @param array $credentials
 * @return bool
 */

protected function hasValidCredentials($user, $credentials)
{
 return ! is_null($user) && $this->provider->validateCredentials($user, $credentials);
}

retrieveByCredentials是用传递进来的字段从数据库中取出用户数据的,validateCredentials是用来验证密码是否正确的实际过程。

这里需要注意的是$this->provider这个provider是一个实现了IlluminateContractsAuthUserProvider类的provider, nba篮球竞彩分析看到目录IlluminateAuth下面有两个UserProvider的实现,分别为DatabaseUserProvider和EloquentUserProvider, 但是nba篮球竞彩分析验证密码的时候是通过那个来验证的呢,看一下auth的配置文件

"providers" => [
 "users" => [
 "driver" => "eloquent",
 "model" => AppUser::class, //这个是driver用的Model
 ],
],

这里配置的是driver => eloquent , 那么就是通过EloquentUserProvider的retrieveByCredentials来验证的, 这个EloquentUserProvider 是在SessionGuard实例化时被注入进来的, (具体是怎么通过读取auth配置文件, 实例化相应的provider注入到SessionGuard里的请查阅IlluminateAuthAuthManager 里createSessionDriver方法的源代码)

接下来nba篮球竞彩分析继续查看EloquentUserProvider中retrieveByCredentials和validateCredentials方法的实现:

/**
 * Retrieve a user by the given credentials.
 *
 * @param array $credentials
 * @return IlluminateContractsAuthAuthenticatable|null
 */
public function retrieveByCredentials(array $credentials)
{
 if (empty($credentials)) {
 return;
 }

 $query = $this->createModel()->newQuery();
 foreach ($credentials as $key => $value) {
 if (! Str::contains($key, "password")) {
  $query->where($key, $value);
 }
 }
 return $query->first();
}

/**
 * Validate a user against the given credentials.
 *
 * @param IlluminateContractsAuthAuthenticatable $user
 * @param array $credentials
 * @return bool
 */
public function validateCredentials(UserContract $user, array $credentials)
{
 $plain = $credentials["password"];

 return $this->hasher->check($plain, $user->getAuthPassword());
}

上面两个方法retrieveByCredentials用除了密码以外的字段从数据库用户表里取出用户记录,比如用email查询出用户记录,然后validateCredentials方法就是通过$this->haser->check来将输入的密码和哈希的密码进行比较来验证密码是否正确。

好了, 看到这里就很明显了, nba篮球竞彩分析需要改成自己的密码验证就是自己实现一下validateCredentials就可以了, 修改$this->hasher->check为nba篮球竞彩分析自己的密码验证规则就可以了。

首先nba篮球竞彩分析修改$user->getAuthPassword()把数据库中用户表的salt和password传递到validateCredentials中
修改AppUser.php 添加如下代码

/**
 * The table associated to this model
 */
protected $table = "user";//用户表名不是laravel约定的这里要指定一下
/**
 * 禁用Laravel自动管理timestamp列
 */
public $timestamps = false;

/**
 * 覆盖Laravel中默认的getAuthPassword方法, 返回用户的password和salt字段
 * @return type
 */
public function getAuthPassword()
{
 return ["password" => $this->attributes["password"], "salt" => $this->attributes["salt"]];
}

然后nba篮球竞彩分析在建立一个自己的UserProvider接口的实现,放到自定义的目录中:

新建app/Foundation/Auth/AdminEloquentUserProvider.php

namespace AppFoundationAuth;

use IlluminateAuthEloquentUserProvider;
use IlluminateContractsAuthAuthenticatable;
use IlluminateSupportStr;

class AdminEloquentUserProvider extends EloquentUserProvider
{

 /**
  * Validate a user against the given credentials.
  *
  * @param IlluminateContractsAuthAuthenticatable $user
  * @param array $credentials
  */
 public function validateCredentials(Authenticatable $user, array $credentials) {
  $plain = $credentials["password"];
  $authPassword = $user->getAuthPassword();

  return sha1($authPassword["salt"] . $plain) == $authPassword["password"];
 }
}

最后nba篮球竞彩分析修改auth配置文件让Laravel在做Auth验证时使用nba篮球竞彩分析刚定义的Provider,
修改config/auth.php:

"providers" => [
 "users" => [
  "driver" => "admin-eloquent",
  "model" => AppUser::class,
 ]
]

修改app/Provider/AuthServiceProvider.php

public function boot(GateContract $gate)
{
 $this->registerPolicies($gate);

 Auth::provider("admin-eloquent", function ($app, $config) {
  return New AppFoundationAuthAdminEloquentUserProvider($app["hash"], $config["model"]);
 });
}

Auth::provider方法是用来注册Provider构造器的,这个构造器是一个Closure,provider方法的具体代码实现在AuthManager文件里

public function provider($name, Closure $callback)
{
 $this->customProviderCreators[$name] = $callback;

 return $this;
}

闭包返回了AdminEloquentUserProvider对象供Laravel Auth使用,好了做完这些修改后Laravel的Auth在做用户登录验证的时候采用的就是自定义的salt + password的方式了。

修改重置密码

Laravel 的重置密码的工作流程是:

  • 向需要重置密码的用户的邮箱发送一封带有重置密码链接的邮件,链接中会包含用户的email地址和token。
  • 用户点击邮件中的链接在重置密码页面输入新的密码,Laravel通过验证email和token确认用户就是发起重置密码请求的用户后将新密码更新到用户在数据表的记录里。

第一步需要配置Laravel的email功能,此外还需要在数据库中创建一个新表password_resets来存储用户的email和对应的token

CREATE TABLE `password_resets` (
 `email` varchar(255) COLLATE utf8_unicode_ci NOT NULL,
 `token` varchar(255) COLLATE utf8_unicode_ci NOT NULL,
 `created_at` timestamp NOT NULL,
 KEY `password_resets_email_index` (`email`),
 KEY `password_resets_token_index` (`token`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

通过重置密码表单的提交地址可以看到,表单把新的密码用post提交给了/password/reset,nba篮球竞彩分析先来看一下auth相关的路由,确定/password/reset对应的控制器方法。

 $this->post("password/reset", "AuthPasswordController@reset");

可以看到对应的控制器方法是AppHttpControllersAuthPasswordController类的reset方法,这个方法实际是定义在IlluminateFoundationAuthResetsPasswords 这个traits里,PasswordController引入了这个traits

/**
 * Reset the given user"s password.
 *
 * @param IlluminateHttpRequest $request
 * @return IlluminateHttpResponse
 */
public function reset(Request $request)
{
 $this->validate(
  $request,
  $this->getResetValidationRules(),
  $this->getResetValidationMessages(),
  $this->getResetValidationCustomAttributes()
 );

 $credentials = $this->getResetCredentials($request);

 $broker = $this->getBroker();

 $response = Password::broker($broker)->reset($credentials, function ($user, $password) {
  $this->resetPassword($user, $password);
 });

 switch ($response) {
  case Password::PASSWORD_RESET:
   return $this->getResetSuccessResponse($response);
  default:
   return $this->getResetFailureResponse($request, $response);
 }
}

方法开头先通过validator对输入进行验证,接下来在程序里传递把新密码和一个闭包对象传递给Password::broker($broker)->reset();方法,这个方法定义在IlluminateAuthPasswordsPasswordBroker类里.

/**
 * Reset the password for the given token.
 *
 * @param array $credentials
 * @param Closure $callback
 * @return mixed
 */
public function reset(array $credentials, Closure $callback)
{
 // If the responses from the validate method is not a user instance, we will
 // assume that it is a redirect and simply return it from this method and
 // the user is properly redirected having an error message on the post.
 $user = $this->validateReset($credentials);

 if (! $user instanceof CanResetPasswordContract) {
  return $user;
 }

 $pass = $credentials["password"];

 // Once we have called this callback, we will remove this token row from the
 // table and return the response from this callback so the user gets sent
 // to the destination given by the developers from the callback return.
 call_user_func($callback, $user, $pass);

 $this->tokens->delete($credentials["token"]);

 return static::PASSWORD_RESET;
}

在PasswordBroker的reset方法里,程序会先对用户提交的数据做再一次的认证,然后把密码和用户实例传递给传递进来的闭包,在闭包调用里完成了将新密码更新到用户表的操作, 在闭包里程序调用了的PasswrodController类的resetPassword方法

function ($user, $password) {
 $this->resetPassword($user, $password);
});

PasswrodController类resetPassword方法的定义

protected function resetPassword($user, $password)
{
 $user->forceFill([
  "password" => bcrypt($password),
  "remember_token" => Str::random(60),
 ])->save();

 Auth::guard($this->getGuard())->login($user);
}

在这个方法里Laravel 用的是bcrypt 加密了密码, 那么要改成nba篮球竞彩分析需要的salt + password的方式,nba篮球竞彩分析在PasswordController类里重写resetPassword方法覆盖掉traits里的该方法就可以了。

/**
 * 覆盖ResetsPasswords traits里的resetPassword方法,改为用sha1(salt + password)的加密方式
 * Reset the given user"s password.
 *
 * @param IlluminateContractsAuthCanResetPassword $user
 * @param string $password
 * @return void
 */
protected function resetPassword($user, $password)
{
 $salt = Str::random(6);
 $user->forceFill([
  "password" => sha1($salt . $password),
  "salt" => $salt,
  "remember_token" => Str::random(60),
 ])->save();

 Auth::guard($this->getGuard())->login($user);
}

结语

到这里对Laravel Auth的自定义就完成了,注册、登录和重置密码都改成了sha1(salt + password)的密码加密方式, 所有自定义代码都是通过定义Laravel相关类的子类和重写方法来完成没有修改Laravel的源码,这样既保持了良好的可扩展性也保证了项目能够自由迁移。

注:使用的Laravel版本为5.2

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对网页设计的支持。

nba篮球竞彩分析互联是全国知名建站品牌服务商,nba篮球竞彩分析有九年网站建设、网站制作、网页设计、php开发和域名注册及虚拟主机服务经验,提供的自助建站服务更是全国有名。近年来还整合团队优势自主开发了可视化多用户”巅云建站系统“3.0平台版,拖拽排版网站制作设计,轻松实现pc站、手机微网站、小程序、APP一体化全网营销网站建设 ,已成功的为全国上百家网络公司提供自助建站平台搭建服务。

相关新闻more

13
05月
SEO关键词优化_巅云建站

ta charset="UTF-8"> SEO关键词优化_巅云建站 a:hover, a:focus,.post-like.act... >>详情

01
04月
深圳文科园林股份有限公司关于公司 以集中竞价

简介:证券代码:002775 证券简称:文科园林 公告编号:2018-067深圳文科园林股份有限公司关于公司以集中竞价交易方式回购股份预案的... >>详情

03
05月
提升网站关键词排名的4大绝招分享

不管是大的门户网站还是小的企业网站,无不为关键词排名提升而揪心,排名上不去揪心,排名上去了没流量更揪心,所以必须要有强有力的关键词选取和排名... >>详情

16
04月
专业网站建设-托管服务器怎么锁定USB端口?

为防止别人从郑州托管服务器的电脑中偷拷文件,nba篮球竞彩分析可以锁住USB端口,但这同时也把光驱、U盘、移动硬盘、打印机、扫描仪等USB设备一同拒之电脑... >>详情

高端网站建设

美工兼顾SEO,为企业电子商务营销助力!

电话:

023-85725751
建站

产品

域名注册 虚拟主机 云服务器 企业邮局
智能建站 APP打包 微站/小程序 创业平台
网站推广 媒体营销 智能采集 AI机器人
400电话 短信营销 店销机器人
私人定制 门户网站
nba篮球竞彩分析