Как перенести пользователей из Magento CMS с их паролями?

Question

[Александр]

Необходимо перенести список пользователей из Magento в Bitrix. Есть CSV файл со списком пользователей выгруженных из базы данных. Хотелось бы перенести пользователей со старыми паролями. Для этого нужно получить из строки с зашифрованным паролем его хеш и дальше сохранить в Битрикс.

Загвоздка в том что я не знаю по какому принципу Magento кодирует пароли, где в строке собственно сам хеш пароля, а где дополнительные символы ( “соль”) которые можно обрезать?

Битрикс кодирует пароль в md5 а затем добавляет к полученной строке “соль”, возможно у Magento такой же принцип. Подскажите по какому принципу в Magento формируются хеш паролей у пользователей.

Answer 1

[Sergey Petrov]

Если речь идет про Magento1, то функция валидации находится в Mage_Core_Model_Encryption:

/**
     * Hash a string
     *
     * @param string $data
     * @return string
     */
    public function hash($data)
    {
        return md5($data);
    }

    /**
     * Validate hash against hashing method (with or without salt)
     *
     * @param string $password
     * @param string $hash
     * @return bool
     * @throws Exception
     */
    public function validateHash($password, $hash)
    {
        $hashArr = explode(':', $hash);
        switch (count($hashArr)) {
            case 1:
                return hash_equals($this->hash($password), $hash);
            case 2:
                return hash_equals($this->hash($hashArr[1] . $password),  $hashArr[0]);
        }
        Mage::throwException('Invalid hash.');
    }

То есть если пароль представлен как два хэша разделенных запятой, то первый - соль, а второй md5-хэш. Иначе это просто md5 хэш.
Соль генерируется рандомно для каждого пользователя, так что если у вас случай с солью, то скорее всего придется допиливать код битрикс чтобы такие пароли продолжали работать. (Хотя я с битрикс никогда не имел дело, может он точно также делает?)

Comments

[Александр]

спасибо, если я вас правильно понял Magento может сохранять закодированную строку паролей пользователей в 2-х вариантах: с запятой и без запятой.
Проверяем строку на наличие запятой, если в строке есть запятая то первую половину просто обрезаем и берем вторую где будет md5 хэш. Верно?

[Sergey Petrov]

Александр, не совсем. Во-первых не запятая а двоеточие. А Во-вторых если вы выкинете соль, то не сможете сгенерировать такой же хэш по паролю пользователя.
В случае если есть соль (есть двоеточие), то ее тоже нужно сохранить в битрикс и код битрикс должен точно так же как маджента проверять - если есть в строке хэша двоеточие - использовать второе значение (в строке после двоеточия) как соль.