Как сгенерировать безопасный хэш в yii2?

Question

[Ace_Viral]

В модели User.php перед сохранением модели я прописываю:

public function beforeSave($insert)
    {
        // Хэширование паролей А3
        if ($this->password) {
            $this->password_hash = Yii::$app->security->generatePasswordHash($this->password);
        }
        // Хэширование рефреш токена
        if ($this->refresh_token) {
            $this->refresh_token_hash = Yii::$app->security->generatePasswordHash($this->refresh_token);
        }

        return parent::beforeSave($insert);
    }

С паролем проблем нету эта функция отрабатывает правильно:

Yii::$app->security->validatePassword($password, $user->password_hash)

Но вот с refresh_token'ом есть проблемы как выяснилось когда значения очень длинное, то после определенного момента он всегда выводит true.

public function actionRefresh()
     {
          $refresh_token = Yii::$app->request->headers->get('Authorization');
          $refresh_token = substr($refresh_token, 7);

          $decoded = User::getUserDataFromJWT($refresh_token);

          $user = User::find()
               ->where(['id' => $decoded->data->user_id])
               ->one();

          if ($user) {
               if (Yii::$app->security->validatePassword($refresh_token, $user->refresh_token_hash)) {
                          ..........

И мне нужно что то придумать как безопасно хранить refresh_toke_hash в базе данных и при этом без проблем его валидировать и проверять правильность.
Помогите пожалуйста

Comments

[Ace_Viral]

либо можно как то под капотом yii поменять эти ограничения

[Ипатьев]

когда значения очень длинное, то после определенного момента он всегда выводит true.

доказательство этого утверждения вы, конечно, не предоставите?

[Ace_Viral]

Ипатьев, Вот мой action:

public function actionRefresh()
     {
          $refresh_token = Yii::$app->request->headers->get('Authorization');
          $refresh_token = substr($refresh_token, 7);

          $decoded = User::getUserDataFromJWT($refresh_token);

          $user = User::find()
               ->where(['id' => $decoded->data->user_id])
               ->one();

          if ($user) {
               if (Yii::$app->security->validatePassword($refresh_token, $user->refresh_token_hash)) {

                    $refresh_token = $user->generateRefreshToken(
                         [
                              'user_id' => $user->id,
                         ]
                    );
                    $user->refresh_token = $refresh_token;

                    $userSaved = $user->save();

                    $jwt = $user->generateJWTtoken(
                         [
                              'user_id' => $user->id,
                              'username' => $user->username,
                              'email' => $user->email,
                         ]
                    );

                    if (!$userSaved) {
                         $out['err']['user not saved'] = [
                              $user->getErrors(),
                              $user->errors,
                              $user->getAttributes(),
                         ];
                    } else {
                         $out['access_token'] = $jwt;
                         $out['refresh_token'] = $refresh_token;
                         $out['user'] = $user->getAttributes();
                    }
               } else {
                    $user->updateFailedLoginAttempts(false);
               }
          } else {
               throw new NotFoundHttpException('User not found');
          }

          return $out;
     }

Я делаю пост запрос и передаю в заголовке refresh_token
После этого запроса refresh_token_hash в базе данных перетирается. И тот который я отправлял в запросе теряет свою надобность он просто должен исчезнуть.
Вот пример, делаю первый запрос с токеном:

В ответе новый токен и новый хэш соответственно
Новый запрос с тем же токеном:

И он опять прошел, хотя не должен был, а сейчас я буду уменьшать длину токена, я покажу это на примере регистрации и логина и токеном будет пароль. Просто в рефреше прежде чем проверится в бд он расшифровывается и просто будет кидать ошибку при не правильной структуре токена.

Вот мой actionLogin:

public function actionLogin()
     {
          $in = \Yii::$app->request->post();

          $email = $in['email'];
          $password = $in['password'];
          $username = $in['username'];

          $user = User::find()
               ->where(['email' => $email])
               ->orWhere(['username' => $username])
               ->one();

          if ($user) {
               // Блокировка учетной записи B2
               if ($user->isLoginBlocked()) {
                    throw new ForbiddenHttpException('Your account is blocked until ' . date("d.m.Y H:i:s", $user->login_locked_until));
               }

               if (Yii::$app->security->validatePassword($password, $user->password_hash)) {
                    $user->updateFailedLoginAttempts(true);

                    $jwt = $user->generateJWTtoken(
                         [
                              'user_id' => $user->id,
                              'username' => $user->username,
                              'email' => $user->email,
                         ]
                    );

                    $refresh_token = $user->generateRefreshToken(
                         [
                              'user_id' => $user->id,
                         ]
                    );
                    $user->refresh_token = $refresh_token;
                    $userSaved = $user->save();

                    if (!$userSaved) {
                         $out['err']['user not saved'] = [
                              $user->getErrors(),
                              $user->errors,
                              $user->getAttributes(),
                         ];
                    } else {
                         $out['user'] = $user->getAttributes();
                         $out['access_token'] = $jwt;
                         $out['refresh_token'] = $refresh_token;
                    }
               } else {
                    $user->updateFailedLoginAttempts(false);
               }
          } else {
               throw new NotFoundHttpException('User not found');
          }

          return $out;
     }

Функция проверки та же самая Делаю login и успешно логинюсь ведь токен не менял:

Теперь начинаем уменьшать длину:

Еще уменьшаем и все проходит))))

И ура после практических опытов выяснилось что он начинает проверять только когда длина строки составляет 71 символ

Вот и доказательство))

[Ипатьев]

Все эти веселые картинки не имеют отношения к утверждению "validatePassword всегда выводит true."
Для доказательства этого утверждения не нужно приводить кучу скриншотов, а достаточно привести код в три строчки: вот "очень длинное значение", вот его хэш, вот validatePassword выводит true.

[Ace_Viral]

Ипатьев, так я тебе привел и код и картинки для понимания работы и как все это отрабатывает, что тебе еще нужно, я пришел не чтобы что то доказывать а просто помощи получить

[Ипатьев]

Вы пришли сюда с вопросом "Как сгенерировать безопасный хэш в yii2?".
Ответ на этот вопрос очевиден: использовать Yii::$app->security->generatePasswordHash()
Я не вижу, какая еще помощь тут нужна

[Ace_Viral]

Ипатьев, так она не корректно работает с большим значением

[Ипатьев]

Вот и покажите, как именно "некорректно" она работает.
для этого нужно три строчки: вот "очень длинное значение", вот его хэш, вот validatePassword выводит true.
И если внезапно выяснится, что validatePassword прекрасно работает с любыми значениями, то значит проблема не в нем, а где-то ещё

[Михаил Ливач]

Ace_Viral, одна из проблем, которая мешает Вам помочь: вместо того, чтобы показать нужные строчки, Вы показали картинки, на которых эти строчки нарисованы (вероятно). А картинки тут нафиг никому не сдались, картинка - это не исходник.

[Ace_Viral]

Михаил Ливач, Ипатьев, Вот пример кода:

public function actionTest()
     {
          $token = [
               'iss' => 'your-issuer-here',
               'aud' => 'your-audience-here',
               'iat' => time(),
               'nbf' => time(),
               'exp' => time() + 15000000,
               'data' => ['user_id' => 1]
          ];

          $refresh_token = JWT::encode($token, 'your-secret-key-here', 'HS256');
          Yii::debug('$refresh_token', $refresh_token);

          $refresh_token_hash = Yii::$app->security->generatePasswordHash($refresh_token);
          Yii::debug('$refresh_token_hash', $refresh_token_hash);

          Yii::debug('check 1', Yii::$app->security->validatePassword($refresh_token, $refresh_token_hash));

          $token = [
               'iss' => 'your-issuer-here',
               'aud' => 'your-audience-here',
               'iat' => time(),
               'nbf' => time(),
               'exp' => time() + 15000000,
               'data' => ['user_id' => 1]
          ];
          $new_refresh_token = JWT::encode($token, 'your-secret-key-here', 'HS256');
          Yii::debug('$new_refresh_token', $new_refresh_token);
          Yii::debug('check 2', Yii::$app->security->validatePassword($new_refresh_token, $refresh_token_hash));
     }

С логами:

То есть я проверяю хэш от одного токена с новым токеном и он выводит TRUE

[Михаил Ливач]

Ace_Viral, Вы снова сделали ту же самую ошибку: тестовые данные - картинкой. Любой, кто пожелал бы Вам помочь, должен был сделать следующее:
1) взять токен ( судя по картинке, начинается на "ey...." )
2) взять хэш токена ( судя по картинке, начинается на "$2y.." )
3) запихнуть это в Yii и убедиться, что хэш получается таким же
4) запихнуть это в предложенный код и поискать ошибку.

Никто забесплатно не будет ломать глаза и разглядывать, что там за символы нарисованы на скриншоте ( меня хватило на три символа, и то ради точности объяснения).

[AceViral]

Михаил Ливач, так как мне показать данные не картинкой, я показал логи с сервера и предоставил код, в коде же видно что я генерирую токен вывожу в лог, делаю хэш токена, потом проверяю 1 токен с его хэшом, выводит true(то есть 1 в логе)
Потом генерирую новый токен спустя время какое то и конечно он будет отличаться, проверяю его с хэшом СТАРОГО токена, и он также выводит true(то есть 1 в логе)
Я не понимаю что еще нужно зачем вам токен в строковом формате, видно же по логам что они разные

Answer 1

[O . J]

можно использовать функцию generateRandomString() из компонента security. Эта функция создает случайную строку указанной длины, которую можно использовать как соль для хеша

public function beforeSave($insert)
{
    if ($this->isNewRecord || $this->isAttributeChanged('password')) {
        $this->password_hash = Yii::$app->security->generatePasswordHash($this->password);
    }
    
    if ($this->isNewRecord || $this->isAttributeChanged('refresh_token')) {
        $salt = Yii::$app->security->generateRandomString();
        $this->refresh_token_salt = $salt;
        $this->refresh_token_hash = Yii::$app->security->generatePasswordHash($this->refresh_token . $salt);
    }

    return parent::beforeSave($insert);
}

А в методе actionRefresh вы можете использовать эту соль, чтобы проверить правильность refresh_token:

public function actionRefresh()
{
    $refresh_token = Yii::$app->request->headers->get('Authorization');
    $refresh_token = substr($refresh_token, 7);

    $decoded = User::getUserDataFromJWT($refresh_token);

    $user = User::find()
        ->where(['id' => $decoded->data->user_id])
        ->one();

    if ($user && $user->refresh_token_salt) {
        $refresh_token_hash = Yii::$app->security->generatePasswordHash($refresh_token . $user->refresh_token_salt);
        if (Yii::$app->security->validatePassword($refresh_token_hash, $user->refresh_token_hash)) {
            // Refresh token is valid
        }
    }
}

Comments

[Ипатьев]

Непонятно, что вы этим хотели сказать.
Соль в хэше и так есть, добавлять от себя ничего не надо.
Автору это тоже как корове седло - у него, якобы, хэши не проверяются, и добавление соли вряд ли ему поможет.

[Ипатьев]

ой, а в реализации и вовсе прекрасно
генерировать хэш при проверке пароля - это гениальный ход. Показывает глубокое знание предмета :)