FOSUserBundle как включить соли? Зачем нужен confirmation token?

Question

[Юрий Матвеенко]

Приветствую. Скачал и установил FOSUserBundle.

Заметил, что в БД salt = NULL, как включить? В документации не сказано.
Подумал, что делаю что-то не правильно. Посмотрел урок на YouTube на английском, проделал тоже самое, но соли все-равно пустые. У него включены. Может быть разные версии FOS?

И зачем нужен confirmation_token? Он тоже пустой, кстати.

Спасибо

Answer 1

[Myroslav Berlad]

Думаю, ето не ошибка. Прочтите вот ето:

https://stackoverflow.com/questions/41298012/colum...

Comments

[Юрий Матвеенко]

То есть получается соль хранится в поле password??

[Myroslav Berlad]

Юрий Матвеенко: Да.

Вот в примере: https://stackoverflow.com/questions/6832445/how-ca...

Stored in the database, a bcrypt "hash" might look something like this:

$2a$10$vI8aWBnW3fID.ZQ4/zo1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa

This is actually three fields, delimited by "$":

- 2a identifies the bcrypt algorithm version that was used.

- 10 is the cost factor; 210 iterations of the key derivation function are used (which is not enough, by the way. I'd recommend a cost of 12 or more.)

- vI8aWBnW3fID.ZQ4/zo1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa is the salt and the cipher text, concatenated and encoded in a modified Base-64. The first 22 characters decode to a 16-byte value for the salt. The remaining characters are cipher text to be compared for authentication.

[Юрий Матвеенко]

Спасибо огромное!

Answer 2

[FanatPHP]

Да, это разные версии, но только не FOS, а Симфони.
Сейчас соль генерируется и хранится вместе с хешем, с использованием функции password_hash()
Поэтому содержимое поля salt на данный момент игнорируется, а в будущем, думаю, будет удалено.

По confirmation_token рекомендую проверить после регистрации и до подтверждения.
Это поле должно быть заполнено только в этот период, в остальное время оно и должно быть пустым.