Переезд на laravel?

Question

[Александр Сисюкин]

Подскажите как перенести пользователей со старого проекта на ларавел ?
Сложность в том что в старом пароль кодируется через sha1 и md5, в ларавел используют BCrypt.
Какой есть вариант действий что бы сохранить актуальность паролей которые сейчас пользователи используют, и отказаться от старого кодирования ?

Answer 1

[Andrzej Wielski]

Как это делал я:

1) Сделал в базе поле пароля Nullable
2) Создал временное поле в БД password_md5
3) Во время авторизации авторизировал пользователя через связку username / password, если авторизация не прошла - username / password_md5.
4) Если связка username / password_md5 прошла, при этом поле password пустое - задавал полю password bcrypt значение введенного пароля

В течении нескольких месяцев база практически полностью наполнилась реальными паролями в bcrypt. Осталось несколько десятков неактивных юзеров, которым была выслана просьба поменять пароль, с отдельной страничкой, проверяющей старый пароль по полю password_md5 и задающей новый password.

Вот таким вот образом была мигрирована старая база. Извращение, но иначе - никак.
Удачи, надеюсь помог :)

Comments

[Александр Сисюкин]

Была и такая мысль, попробуем такое )

[Евгений]

ну и какой в этом смысл если в бд всё равно осталось поле password_md5, вы никак не увеличили безопасность и криптостойкость старым добавив bcrypt

[Andrzej Wielski]

Евгений: данное поле удаляется спустя 2-3 месяца в случае относительно крупной базы, либо за несколько дней в случае небольшого корпоративного сервиса.

[Александр Сисюкин]

Евгений: так когда активные юзеры перейдут на этот метод кодирования можно отказаться от md5

[Евгений]

Александр Сисюкин: я понял, вам не надо решение, вам надо попариться

Answer 2

[DevMan]

никакого. только ресет пароля через forget password.

Comments

[Александр Сисюкин]

Печаль( это мне ни кто не разрешит сделать.. А как вы смотрите на то что бы переназначить методы кодирования в ларавел ?

[Евгений]

неправда, можно переписать авторизацию, к юзерам только добавить remember_token, остальное не надо

[Александр Сисюкин]

Евгений: то есть вы предлагаете перенести ту авторизацию которя уже есть ?

[DevMan]

Евгений: если переписать авторизацию на md5, то действительно неправда.
если использовать штатную авторизацию фреймворка, то очень даже правда.

костылить в наше время с md5 для авторизации - это пять.

[Александр Сисюкин]

Все ясно. Всем большое спасибо.

[Евгений]

DevMan: если у тебя утекла база, то это уже чп, и шифрование паролей это последнее о чем беспокоятся
В ларавел есть метод \Auth::loginUsingId() который позволяет авторизовывать по любому признаку просто зная id (и имея remember_token в таблице юзеров)

[Евгений]

Александр Сисюкин: именно, перенести тот же алгоритм

[DevMan]

Александр Сисюкин: > Печаль( это мне ни кто не разрешит сделать
а в чем собственно проблема?
разослали пользователям письма с предупреждением или сразу линки на ресет пароля. в чем тут сложности то?

Евгений: с такой логикой пароли нужно вообще хранить в открытом виде.

[Евгений]

DevMan: да пофиг как их хранить, если их УЖЕ так хранят

[DevMan]

Евгений: ну так отличный повод это изменить. при чем с минимумом усилий и со своей стороны, и со стороны пользователей.

[Александр Сисюкин]

DevMan: проблема в том что за бета тестирование , маркетологи нагнали массу народа и если я ресет разошлю они меня живьем сожрут. Основу проекта не я закладывал лиш довел до беты. сейчас хотят от меня переход на ларавел...

[Евгений]

Александр Сисюкин: ну реально переписать авторизацию ничего не стоит используя \Auth::loginUsingId()

[Александр Сисюкин]

Евгений: согласен самый быстрый способ. Просто хочется избавется от md5 sha.

[DevMan]

Александр Сисюкин: тут уж вам решать: делать технически грамотно или ублажать маркетологов.
возможно, стоит обсудить это совместно.

Answer 3

[Станислав Почепко]

Отправте письма с текстом
В целях безопасности мы изменили шифрование паролей и тп и тд. Просьба, поменяйте свой пароль. И вышлите ссылку на сброс пароля.