使用 Core PHP 验证 Silverstripe 用户

Question

我的客户有一个使用 SilverStripe 制作的网站和后端。现在客户想要一个移动应用程序，为此他希望我构建一个 API 来与数据库通信。不幸的是，他希望我使用其他一些框架，甚至是带有 PDO 的核心 PHP 实现。

我的问题：

SilverStripe 如何加密其密码？如何使用纯 PHP 手动验证用户身份。只有用户输入的加密/散列逻辑（就像 SilverStripe 那样）对我来说就足够了。

Answer 1

不幸的是，他希望我使用其他框架，甚至是带有 PDO 的核心 PHP 实现

作为开发人员，您有能力告诉您的客户为什么他在这方面可能错了。

如果网站/应用程序是使用 SilverStripe 构建的，那么他应该有一个非常好的/特定的理由不继续使用它来在 SilverStripe 数据之上实现 API - 为此使用 SilverStripe 非常有意义，并且为了“不使用 SilverStripe”而重写 SilverStripe 框架的某些部分毫无意义。

向您的客户提及，SilverStripe 实现的底层加密/散列算法不是其公共 API 的一部分也很重要，因此无需向开发人员明确通知即可更改。这可能意味着可以更改默认算法（例如，如果在河豚算法中发现零日漏洞），您的移动应用程序将停止工作。使用 SilverStripe API 不会有同样的问题。

以上内容也适用于 SilverStripe 的一般数据结构。让我们假设有一天他们决定从平面表转移到 EAV 数据库存储设计 - 他们的公共 API（具有公共方法的类）将保持不变，而将可访问性与处理和数据存储分开的后端类将发生变化。 如果你自己构建它，你也必须更新你的 API！

SilverStripe 如何加密其密码？

这取决于 - the default method is encryption with the blowfish algorithm，但有半打左右（在 3.4.1 中）implementations of the PasswordEncryptor class 可以配置为使用。

要使用的算法可通过Security::$password_encryption_algorithm 属性或 YAML 配置进行配置。

每个用户都可以使用不同的密码加密/散列算法 - take a look 在Member 数据库表的PasswordEncryption 列下。

如何使用纯 PHP 手动验证用户身份

理论上，如果您想这样做，您需要在框架的身份验证器中重新创建大部分逻辑。首先查看Member::checkPassword - 这是针对成员检查密码的逻辑的启动 - 这是您所关心的。

您会发现自己假设大多数 SilverStripe 实现将使用默认的河豚加密算法，并遵循 PasswordEncryptor::create_for_algorithm 到 PasswordEncryptor_Blowfish::check。在这一点上，您将看到您最终将复制大量 SilverStripe 框架的代码以实现您想要的。

---

总结

• 您想要实现的目标将涉及大量重复
• 它不适用于 100% 的 SilverStripe 实现
• 它现在可能有效，但在算法更改时会在某个时候中断
• 询问您的客户原因，并说服他们改变主意（毕竟，您是专家，他们是客户）
• 使用 SilverStripe API 模块（下面列出的一对）

API 模块

• silverstripe/silverstripe-restfulserver - 官方支持，并提供了一种简单易用的方法来开始提供对 SilverStripe 系统的 API 访问。您可以对 HTTP 请求方法进行基本控制，并且可以限制每个 DataObject 的访问和权限。
• colymba/silverstripe-restfulapi - 社区模块。可以说更加灵活和强大。设置/配置您想要的工作方式需要做更多的工作。