Yii2: Логин по email или username?

Question

[Антон Натаров]

Как можно реализовать логин по разным полям? Поскольку в форме показывается либо username поле либо email. Мне не хотелось бы так оставлять, валидация происходит нормально, если мыло пустое, то валидирует по имени и на оборот. Сейчас это выглядит вот так.

public function getUser()
    {
        if ($this->_user === false) {
            $this->_user = User::findByUsername($this->username);
                      if ($this->_user === false) {
                                $this->_user = User::findByEmail($this->email);
                       }
        }
        return $this->_user;
    }

В ruls email является safe атрибутом.

Форма во Views

<?php $form = ActiveForm::begin(['id' => 'login-form']); ?>

                <?= $form->field($model, 'username')->textInput(['autofocus' => true]) ?>

                <?= $form->field($model, 'email')->textInput() ?>

                <?= $form->field($model, 'password')->passwordInput() ?>

                <?= $form->field($model, 'rememberMe')->checkbox() ?>

                <div style="color:#999;margin:1em 0">
                     Я забыл пароль <?= Html::a('восстановить', ['password-reset-request']) ?>.
                </div>

                <div class="form-group">
                    <?= Html::submitButton('Вход', ['class' => 'btn btn-primary', 'name' => 'login-button']) ?>
                </div>

            <?php ActiveForm::end(); ?>

Мне нужно одно общее поле, которое валидировало бы нормально и по мылу и по имени. Возможно поменяю на номера телефонов и будет свой паттерн ввода. Как поступить правильно?

Answer 1

[Максим Федоров]

Если я правильно понял задачу, и цель стоит в одном поле вводить либо мыло/либо логин/либо телефон, то что мешает сделать так:
1. В модели сделать атрибут, например: $login и его использовать на форме
2. Написать свой валидатор который будет проверять являются ли данные телефон/мылом и т.п.
https://yiiframework.com.ua/ru/doc/guide/2/input-v...
https://yiiframework.com.ua/ru/doc/guide/2/input-v...
3. В методе getUser сделать поиск введенных данных по необходимым полям через OR ?

Comments

[Антон Натаров]

Я через Or и переписал сейчас. Спасибо, ваш совет это то что мне нужно было.

Answer 2

[Максим Тимофеев]

skipOnEmpty подробнее как всегда в доках:
www.yiiframework.com/doc-2.0/yii-validators-valida...

Answer 3

[Max Khartanovych]

Если вы делаете все это в модели - лучшим решением было бы завести отдельную форму, где были бы прописаны rules() для валидации и фильтрации. В этой же форме, можно реализовать вашу логику авторизации.

class Login extends Model
{
    public $identity;
    public $password;

    public function rules()
    {
        return [
            ['identity', 'filter', 'filter' => 'trim'],
            ['identity', 'required'],

            ['password', 'required'],
        ];
    }

    /**
     * @return bool|null|static|User
     */
    public function authenticate()
    {
        if (!$user = User::findIdentityByUsernameOrEmail($this->identity)) {
            $this->addError('identity', Yii::t('app', 'invalid_credentials_on_login'));
            return false;
        }

        if (!$user->validatePassword($this->password)) {
            $this->addError('identity', Yii::t('app', 'invalid_credentials_on_login'));
            return false;
        }

        return $user;
    }
}

/**
     * Finds user by username or email
     *
     * @param string $identity
     * @return static|null
     */
    public static function findIdentityByUsernameOrEmail($identity)
    {
        /**
         * Try to find identity by nickname
         * @var User $user
         */
        if ($user = static::findOne(['username' => $identity, 'status' => self::STATUS_ACTIVE])) {
            return $user;
        }

        /**
         * Try to find identity by email
         * @var LoginAccount $loginAccount
         */
        if ($loginAccount = LoginAccount::findByEmail($identity)) {
            return $loginAccount->getUser()->one();
        }

        return null;
    }

В моем случае авторизация по email или nickname в одном поле, которое имеет общее название identity, а при поиске пользователя я использую 2 модели, так как email в другой таблице.

Comments

[Антон Натаров]

Спасибо за ответ, но я похожим вариантом и решил все. И у вас валидатор построен таким образом. Что все что нужно это ввести строку в поле Identity. А у меня оба поля специфичный и используют Pattern RegEx. Поскольку оно одно. достаточно сложно ухватить и телефон и email. Если с мылом все просто и у него есть собственное правило email. То как заставить Rule принимать и то и другое не ясно. Но на данный момент я сделал точно так же как и вы, обязательное и фильтр трим. Но в теории в такое поле можно послать все что угодно даже SQL injection.

[Max Khartanovych]

Антон Натаров: насколько я понимаю, валидатор не должен защищать от SQL injection, этим занимается PDO, нужно использовать bind при поиске поля.

static::findOne('email = '.$email) - это выражение подвержено SQL injection
static::findOne(['email' => $email]) - это не должно - тут нужно уточнить на самом деле
static::findOne(['email'=>':email'],[':email'=>$email]) - а поиск через params bind хорошо решает данный вопрос

[Max Khartanovych]

Если у вас 2 поля и вам нужно использовать что-то одно для авторизации пользователя, можно использовать skipOnEmpty

Если я правильно понимаю вашу задачу, вам необходимо авторизовать пользователя по одному из полей. Так же нужно учитывать, что при логине валидация в основном заключается только в том, что поле должно быть не пустое, нет смысла валидировать на email (при регистрации - имеет смысл) и говорить, что email не верен - тогда можно понять по какому полю брутфорсить, именно для этого ошибки генерируют общие, типа "Неверно email\nickname\телефон или пароль". Вся остальная механика ложится не на валидатор, а под капотом.

Берете поле 1 - ищите, не нашли, пробуем по 2-му полю - не нашли ? добавляем error "Неверно email\nickname\телефон или пароль".

Но мне кажется странным атворизация по 2-м полям, если это не какая-то специфическая задача, как например в slack, где нужно вводить еще имя команды.

[Антон Натаров]

Max Khartanovych: Теперь понял, я действительно думал, что выражения static::findOne(['email' => $email]) и с равно, эквивалентны между собой. По поводу задачи она действительно специфична. т.к. есть некое разделение на партнеров и пользователей. Пользователи так же имеют мыло, но для них доступен сервис пополнения телефона и что бы не плодить слишком много. решил сделать авторизацию по двум полям. Партнеры в свою очередь только мыло.

[Max Khartanovych]

Антон Натаров: Имеет смысл делать два входа: для партнера, для пользователя. Две отдельные формы. На фронте это можно сделать красиво - show\hide форм по клику или еще как-то.

[Max Khartanovych]

Пример 1 raw sql
$username = "'; DROP TABLE user; --";
$sql = "SELECT * FROM user WHERE username = '$username'";
\Yii::$app->db->createCommand($sql)->execute();

Этот пример генерирует SQL:
SELECT * FROM user WHERE username = ''; DROP TABLE user; --' - таблица удаляется.

Пример 2 hash format
User::findOne(["username" => "'; DROP TABLE user; --"]);

Этот пример генерирует SQL:
SELECT * FROM `user` WHERE `username`='\'; DROP TABLE user; --' - возвращается пустота

Пример 3 bind values
User::find()->where("username = :username", [":username" => "'; DROP TABLE user; --"])->one();

Этот пример генерирует SQL:
SELECT * FROM `user` WHERE username = '\'; DROP TABLE user; --' - возвращается пустота