Как проверять пароли пользователей Laravel вне Laravel?

Question

[WebDev]

Добрый день. Есть проект с большой базой пользователей на Laravel. Пароли пользователей хранятся в базе в виде хэша.
Появилась задача слить базу пользователей с другой базой и перевезти проект на другие технологии. Как без Laravel можно авторизовывать существующих пользователей?

Answer 1

[WebDev]

Нашел вот такое решение:

If you are using PHP >= 5.5 then you can do hash verification by using password_verify() function. Internally laravel uses the same function while doing Hash::check().

For example:

$hashedPassword = '$2y$10$XEq0uTegk/KlkuOR.xMKfenIH9XpstjTau2qBrQoGiuyGgd/NHXjO';
$password = 'password';

if(password_verify($password, $hashedPassword))
     echo 'Password is valid!';
else
     echo 'Invalid password.';

Answer 2

[Алексей Юхновец]

Использовать в новом проекте такое же хеширование, что и в проекте на laravel. Это если база пользователей нового проекта пуста или там пароли хранятся в чистом виде. Иначе наверное только осуществлять авторизацию через поиск по двум базам с разными алгоритмами хеширования

Comments

[Adamos]

Вздор. Базы пользователей сливаются, как есть. У одних будут хэши Лары, у других - из второго проекта.
При авторизации проверяется совпадение хэша по одному алгоритму или по другому. Если авторизация прошла успешно - те хэши, которые не соответствуют выбранному стандарту, переписываются созданными по нему - пароль-то мы при авторизации получили в открытом виде и можем создать по нему хэш заново.
Постепенно активные пользователи будут переведены на новую систему.

[Алексей Юхновец]

Adamos, Где гарантия, что пароль был введен верный? Любой сможет авторизоваться под чужим аккаунтом и еще и пароль изменить из базы laravel. Плюс это коснется вообще все авторизации с неверным паролем, не только ларавскую базу. Понятно, что ларавских пользователей можно в отдельном поле пометить и тогда такая смена пароля будет работать только для них. Но если у нас будет таблица пользователей слитая + поле с отметкой из какой базы этот пользователь, то что помешает использовать авторизацию по одному из двух алгоритмов?

[Алексей Юхновец]

Adamos, если уж и идти по вашему пути, то лучше для тех, кто из базы лары в открытую предлагать установить пароль, но в таком случае нужно иметь достаточно информации в базе, чтобы пользователя можно было без пароля авторизовать для установки нового

[Adamos]

Алексей Юхновец, ок, медленно и печально.
Вот у вас две базы с хэшами: одни, скажем, ларовские, а вторые - простой md5, даже без соли.
Пришел юзер авторизоваться. Ввел пароль.
Считаем его хэш для лары. Сверяем. Не сходится.
Считаем md5. Сошлось.
Авторизуем пользователя и пишем в базу вместо md5 нормальный ларовский хэш.