【问题标题】:User authentication with a db-backed UserProvider in Silex在 Silex 中使用 db 支持的 UserProvider 进行用户身份验证
【发布时间】:2013-02-05 09:38:58
【问题描述】:

我正在开发一个 Silex 应用程序,现在我处于安全阶段。我已经阅读了我在网上找到的关于这个主题的所有文档,但我有很多疑问,如果可能的话,我希望有人能帮助我。

基本上我关注了this tutorial from Johann Reinke

当然还有Silex documentation

还有我在 Google 上找到的所有内容。

但是,我认为 Silex 仍然缺乏很多文档,我在很多方面都迷失了。

我的代码:

 $app->register(new Silex\Provider\SessionServiceProvider(), array(
  'session.storage.save_path' => __DIR__.'/../vendor/sessions',
 ));

$app->register(new Silex\Provider\DoctrineServiceProvider(), array(
'db.options' => array(
'driver'    => 'pdo_mysql',
'host'      => 'localhost',
'dbname'    => 'dbname',
'user'      => 'someuser',
'password'  => 'somepass',
'charset'   => 'utf8',
),
));



$app['security.encoder.digest'] = $app->share(function ($app) {
    return new MessageDigestPasswordEncoder('sha1', false, 1);
});


$app['security.firewalls'] = array(
    'acceso' => array(
    'pattern' => '^/confirmar',
    'form' => array('login_path' => '/acceso', 'check_path' => '/confirmar/comprobar_acceso'),
    'logout' => array('logout_path' => '/confirmar/salir'),
    'users' => $app->share(function() use ($app) {
     return new Acme\User\UserProvider($app['db']);
    }),
),
);


$app->register(new Silex\Provider\SecurityServiceProvider(array(
'security.firewalls' => $app['security.firewalls'],
'security.access_rules' => array(
array('^/confirmar', 'ROLE_USER'),
),
)));

我对控制器有很多疑问:

$app->match('/acceso', function(Request $request) use ($app) {

$username = $request->get('_username');
$password = $request->get('_password');

if ('POST' == $request->getMethod())
    {
    $user = new Acme\User\UserProvider($app['db']);
    $encoder = $app['security.encoder_factory']->getEncoder($user);
    // compute the encoded password
    $encodedPassword = $encoder->encodePassword($password, $user->getSalt());

    // compare passwords
        if ($user->password == $encodedPassword)
            {
            // set security token into security
            $token = new UsernamePasswordToken($user, $password, '', array('ROLE_USER'));
            $app['security']->setToken($token);
           //return $app->redirect('/jander');
           // redirect or give response here
         } else {
         // error feedback
         }

         }


return $app['twig']->render('login.twig', array(
    'error'         => $app['security.last_error']($request),
    'last_username' => $app['session']->get('_security.last_username'),
));
})
->bind('acceso');

这是我的班级,用户提供者:

// src/Acme/User/UserProvider.php
namespace Acme\User;

use Symfony\Component\Security\Core\User\UserProviderInterface;
use Symfony\Component\Security\Core\User\UserInterface;
use Symfony\Component\Security\Core\User\User;
use Symfony\Component\Security\Core\Exception\UsernameNotFoundException;
use Symfony\Component\Security\Core\Exception\UnsupportedUserException;
use Doctrine\DBAL\Connection;




class UserProvider implements UserProviderInterface
{
private $conn;

public function __construct(Connection $conn)
{
    $this->conn = $conn;
}

public function loadUserByUsername($username)
{
    $stmt = $this->conn->executeQuery('SELECT * FROM compradores WHERE idemail = ?', array(strtolower($username)));
    if (!$user = $stmt->fetch()) {
        throw new UsernameNotFoundException(sprintf('Username "%s" does not exist.', $username));
    }

    return new User($user['idemail'], $user['pass'], explode(',', $user['roles']), true, true, true, true);
}

public function refreshUser(UserInterface $user)
{
    if (!$user instanceof User) {
        throw new UnsupportedUserException(sprintf('Instances of "%s" are not supported.', get_class($user)));
    }

    return $this->loadUserByUsername($user->getUsername());
}

public function supportsClass($class)
{
    return $class === 'Symfony\Component\Security\Core\User\User';
}
}

还有我的表格:

<form action="{{ path('confirmar_comprobar_acceso') }}" method="post">
{{ error }}
<input type="text" name="_username" value="{{ last_username }}" />
<input type="password" name="_password" value="" />
<input type="submit" />
</form>

这是我的 mysql 表:

id          int(15) 
idemail varchar(255)
nombre  varchar(255) 
apellidos   varchar(255)
telefono    int(11)
activo  tinyint(4)
pass    varchar(40)
roles   varchar(255)
iva         tinyint(4)
nifcif      varchar(255)

尝试登录时,我总是收到“错误凭据”响应。有任何想法吗?谢谢和干杯!

【问题讨论】:

  • 上面的第一个链接要么坏了,要么包含病毒(我的 Firefox 刚刚发疯了)。你能把它取下来吗?

标签: php security silex


【解决方案1】:

40 个字符时,您的密码字段“pass”可能会截断加密密码。尝试将字段更改为 varchar(255)

【讨论】:

    【解决方案2】:

    我在使用默认编码器时遇到了类似的问题,我怀疑这与数据库排序有关,或者可能与多个 base64 编码有关。

    我用简单的 sha1 替换它,相当不安全,但这给出了一个大致的想法(为了安全起见,你可以用 sha2 替换它)。在注册您的安全提供商后添加:

    $app['security.encoder.digest'] = $app->share(function ($app) {
        // use the sha1 algorithm
        // don't base64 encode the password
        // use only 1 iteration
        return new MessageDigestPasswordEncoder('sha1', false, 1);
    });
    

    而且您必须确保您存储的密码使用相同的哈希算法。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2014-09-18
      • 2017-05-28
      • 1970-01-01
      • 1970-01-01
      • 2014-11-05
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多