Авторизация с хэшированым паролем в Yii2?

Question

[Mors Clamor]

Всем привет. Решил я что открытый пароль это не кайф, решил захэшировать стандартной password_hash, а далее проверять password_verify. Но не пропускает меня, говорит неверный логин или пароль. То ли я не понял как оно должно работать то ли одно из двух, помогите пожалуйста. Вот кусочек из User

public function validatePassword($password)
{
    $user=$this->findOne(["username"=>$this->username]);
    return password_verify($password, $user->password);
}

public function setPassword($password)
{
    $this->password=password_hash($password,PASSWORD_DEFAULT);
}


public function beforeSave($insert)
   {
       if (parent::beforeSave($insert)) {
           if ($this->isNewRecord) {
               $this->authKey = \Yii::$app->security->generateRandomString();
               $this->setPassword($this->password);
           }
           return true;
       }
       return false;
   }

Comments

[Dmitry Bay]

чет ерунду наделали.

[xmoonlight]

password_verify - покажите

[Дмитрий]

Добрый вечер.

чет ерунду наделали.

Полностью согласен!!!
66demon666, Вы в документацию по yii хоть когда-нибудь заглядывали?

[Mors Clamor]

Дмитрий, конечно не заглядывал, это к yii никакого отношения почти и не имеет. Делюсь

[Дмитрий]

66demon666, если не имеет отношения к yii, то зачем тег "YII" прилепили?

[Дмитрий]

конечно не заглядывал,

66demon666, а если бы заглянули, то увидели, что всё давно за Вас сделано, с применением и password_hash() и password_verify()

[Mors Clamor]

Дмитрий, потому что я не знаю, что именно я не понял, логику работы с функцией или реализацию в yii. Неочевидно, да?

[Mors Clamor]

Дмитрий, так я пробовал, та же песня

[Дмитрий]

66demon666, что пробовали?

[Дмитрий]

потому что я не знаю, что именно я не понял, логику работы с функцией или реализацию в yii

66demon666, Вы вообще ничего не поняли.

[Дмитрий]

66demon666, какая длина значения в базе для hash пароля?
И вот этого в методе не должно быть.

$user=$this->findOne(["username"=>$this->username]);

Если бы Вы всё правильно сделали, то и такой бы вариант работал бы без проблем.

public function validatePassword($password)
    {
        return password_verify($password, $this->password_hash);
    }

    /**
     * @param $password
     * @throws \yii\base\Exception
     */
    private function setPassword($password)
    {
        $this->password_hash = password_hash($password, PASSWORD_DEFAULT);
    }

Причина не в этих методах.

[Mors Clamor]

Дмитрий,

public function validatePassword($password)
{
    if (\Yii::$app->getSecurity()->validatePassword($password, $this->passwordHash)) {
      return true;
    }
    else {
      return false;
    }
}

public function setPassword($password)
{
    $this->passwordHash=\Yii::$app->getSecurity()->generatePasswordHash($password);
}


public function beforeSave($insert)
   {
       if (parent::beforeSave($insert)) {
           if ($this->isNewRecord) {
               $this->authKey = \Yii::$app->security->generateRandomString();
               $this->setPassword($this->password);
           }
           return true;
       }
       return false;
   }

}

а если бы заглянули, то увидели, что всё давно за Вас сделано, с применением и password_hash() и password_verify()

Весь гугл забит этим одним и тем же примером, который у меня по каким-то причинам не пашет

[Дмитрий]

Весь гугл забит этим одним и тем же примером

66demon666, я не про gogle писал, а об официальной документации.

public function validatePassword($password)
{
    return \Yii::$app->getSecurity()->validatePassword($password, $this->passwordHash)
}

Показывайте как Вы "логините" пользователя.

[Mors Clamor]

Дмитрий, я от стандарта и не отходил

public function validatePassword($attribute, $params)
    {
        if (!$this->hasErrors()) {
            $user = $this->getUser();

            if (!$user || !$user->validatePassword($this->password)) {
                $this->addError($attribute, 'Неправильные учетные данные');
            }
        }
    }

    /**
     * Logs in a user using the provided username and password.
     * @return bool whether the user is logged in successfully
     */
    public function login()
    {
        if ($this->validate()) {
            return Yii::$app->user->login($this->getUser(), $this->rememberMe ? 3600*24*30 : 0);
        }
        return false;
    }

[Дмитрий]

66demon666, как это не отходили? Посмотрите свою проверку проверку и то, что я показал.

[Mors Clamor]

Дмитрий, так, метод \Yii::$app->getSecurity()->validatePassword должен вызываться в User? Потому что я привел код из модели логина.

[Дмитрий]

должен вызываться в User?

66demon666, вот загляните в документацию и Вам всё станет ясно.

[Дмитрий]

66demon666, и не надо использовать if(){}else{}

[Mors Clamor]

Дмитрий, я вас не обманываю, вот, об этом не написано


Если это метод в User непонятно, почему неправильная модель логина, ведь она вызывает ValidatePassword где вся проверка и происходит

Если это метод в модели, то тогда я вообще не понимаю.
(модель)

public function validatePassword($attribute, $params)
    {
        if (!$this->hasErrors()) {
            $user = $this->getUser();

            if (!$user || !Yii::$app->getSecurity()->validatePassword($password, $user->passwordHash)) {
                $this->addError($attribute, 'Неправильные учетные данные');
            }
        }
    }

[Дмитрий]

66demon666, если этот метод у Вас в модели LoginForm

public function validatePassword($attribute, $params)
    {
        if (!$this->hasErrors()) {
            $user = $this->getUser();

            if (!$user || !Yii::$app->getSecurity()->validatePassword($password, $user->passwordHash)) {
                $this->addError($attribute, 'Неправильные учетные данные');
            }
        }
    }

то по идее Вам должно выдавать ошибку о том, что $password не существует, а вот использовать $this->password будет лучше.
А лучше перенесите проверку пароля в модель User

public function validatePassword($password)
    {
        return Yii::$app->security->validatePassword($password, $this->password_hash);
    }

В модели LoginForm используйте так

public function validatePassword($attribute, $params)
    {
        if (!$this->hasErrors()) {
            $user = $this->getUser();

            if (!$user || !$user->validatePassword($this->password)) {
                $this->addError($attribute, 'Неправильные учетные данные');
            }
        }
    }

[Mors Clamor]

Дмитрий, Так вот дело в том, что всё изначально в этомвиде и было (в начале вопроса)

[Дмитрий]

66demon666, как Вы регистрируете пользователя?
И, кстати, какой уровень ошибок у Вас на сервере в error_reporting()?

[Дмитрий]

66demon666, атрибут password модели User существует?

[Дмитрий]

66demon666, покажите модель Signup

[Mors Clamor]

Дмитрий, RegisterForm

<?php

namespace app\models;

use Yii;
use yii\base\Model;

/**
 * LoginForm is the model behind the login form.
 *
 * @property User|null $user This property is read-only.
 *
 */
class RegisterForm extends Model
{
    public $username;
    public $password;
    public $passwordConfirm;
    public $email;
    private $_user = false;


    /**
     * @return array the validation rules.
     */
    public function rules()
    {
        return [
            [['username', 'email', 'password','passwordConfirm'], 'required','message'=>"Поле обязательно к заполнению"],
            [['username', 'email', 'password','passwordConfirm'], 'trim'],
            [['password'],'string', 'length'=>[6,12],'message'=>"Пароль должен содержать от 6 до 12 символов"],
            [['username'],'string', 'length'=>[4,12],'message'=>"Логин должен содержать от 4 до 12 символов"],
            [['username'],'unique', 'targetAttribute'=>"username","targetClass"=>"app\models\User", 'message'=>"Этот логин уже занят"],
            [['email'],'unique', 'targetAttribute'=>"email","targetClass"=>"app\models\User", 'message'=>"Эта почта уже зарегистрирована"],
            ['password', 'compare', 'compareAttribute' => 'passwordConfirm','message'=>"Пароли не совпадают"],
            ['email','email','message'=>"Некорректный email"],
        ];
    }

    public function attributeLabels() {
      return [
        'username'=>'Логин',
        'password'=>'Пароль',
        'passwordConfirm'=>'Подтверждение пароля',
        'email'=>'Email',
      ];
    }

    /**
     * Validates the password.
     * This method serves as the inline validation for password.
     *
     * @param string $attribute the attribute currently being validated
     * @param array $params the additional name-value pairs given in the rule
     */


    /**
     * Logs in a user using the provided username and password.
     * @return bool whether the user is logged in successfully
     */
    public function register()
    {
      if ($this->validate()) {
        $user=new User;
        $user->username=$this->username;
        $user->email=$this->email;
        $user->save();
        return true;
      }
      else {
        return false;
      }

    }

    /**
     * Finds user by [[username]]
     *
     * @return User|null
     */
    public function getUser()
    {
        if ($this->_user === false) {
            $this->_user = User::findByUsername($this->username);
        }

        return $this->_user;
    }
}

LoginForm

<?php

namespace app\models;

use Yii;
use yii\base\Model;

/**
 * LoginForm is the model behind the login form.
 *
 * @property User|null $user This property is read-only.
 *
 */
class LoginForm extends Model
{
    public $username;
    public $password;
    public $rememberMe = true;

    private $_user = false;


    /**
     * @return array the validation rules.
     */
    public function rules()
    {
        return [
            // username and password are both required
            [['username', 'password'], 'required','message'=>'Поле не заполнено'],
            // rememberMe must be a boolean value
            ['rememberMe', 'boolean'],
            // password is validated by validatePassword()
            ['password', 'validatePassword'],
        ];
    }

    public function attributeLabels() {
      return [
        'username'=>'Логин',
        'password'=>'Пароль'
      ];
    }


    /**
     * Validates the password.
     * This method serves as the inline validation for password.
     *
     * @param string $attribute the attribute currently being validated
     * @param array $params the additional name-value pairs given in the rule
     */
    public function validatePassword($attribute, $params)
    {
        if (!$this->hasErrors()) {
            $user = $this->getUser();

            if (!$user || !$user->validatePassword($this->password)) {
                $this->addError($attribute, 'Неправильные учетные данные');
            }
        }
    }

    /**
     * Logs in a user using the provided username and password.
     * @return bool whether the user is logged in successfully
     */
    public function login()
    {
        if ($this->validate()) {
            return Yii::$app->user->login($this->getUser(), $this->rememberMe ? 3600*24*30 : 0);
        }
        return false;
    }

    /**
     * Finds user by [[username]]
     *
     * @return User|null
     */
    public function getUser()
    {
        if ($this->_user === false) {
            $this->_user = User::findByUsername($this->username);
        }
        return $this->_user;
    }
}

User

<?php

namespace app\models;

use Yii;
use yii\base\NotSupportedException;
use yii\db\ActiveRecord;
use yii\web\IdentityInterface;

class User extends \yii\db\ActiveRecord  implements IdentityInterface
{
public static function tableName(){
return "users";
}

public static function findIdentity($id) {
  return static::findOne($id);
}

public static function findIdentityByAccessToken($token, $type = null)
 {
     return static::findOne(['access_token' => $token]);
 }

 /**
  * @return int|string current user ID
  */
 public function getId()
 {
     return $this->id;
 }

 public function findByUsername($username) {
   return static::findOne(["username"=>$username]);
 }
 /**
  * @return string current user auth key
  */
 public function getAuthKey()
 {
     return $this->authKey;
 }

 /**
  * @param string $authKey
  * @return bool if auth key is valid for current user
  */
 public function validateAuthKey($authKey)
 {
     return $this->getAuthKey() === $authKey;
}

public function validatePassword($password)
{
  return $this->paswordHash==$password;
}

public function setPassword($password)
{
    $this->passwordHash=\Yii::$app->getSecurity()->generatePasswordHash($password);
}


public function beforeSave($insert)
   {
       if (parent::beforeSave($insert)) {
           if ($this->isNewRecord) {
               $this->authKey = \Yii::$app->security->generateRandomString();
               $this->setPassword($this->password);
           }
           return true;
       }
       return false;
   }

}

За уровень ошибок - не менял после установки

[Дмитрий]

66demon666, удалите из метода beforeSave в модели User установку пароля. В модели User $this->password у Вас пустой, так как при регистрации Вы работаете с атрибутом модели Register, а не с атрибутом модели User.
В методе register установите пароль через setPassword()

public function register()
{
   if($this->validate())
   {
      /*****/
      $user->setPassword($this->password)
      /****/
    }
}

[Дмитрий]

66demon666, и можно чуть проще обращаться к Security в модели User

Yii::$app->security->generatePasswordHash($password)

[Дмитрий]

66demon666, генерацию authKey делайте тоже в модели RegisterForm

public function register()
{
   if($this->validate())
   {
      /*****/
      $user->setPassword($this->password)
      $user->generateAuthKey();
      /****/
    }
}

В модели User создайте метод

public function generateAuthKey()
    {
        return $this->auth_key = Yii::$app->security->generateRandomString();
    }

[Mors Clamor]

Дмитрий, ну, ситуация не двинулась ни в какую сторону. У меня в таблице есть только passwordHash и я по нему пытаюсь сделать авторизацию, password у меня null и нигде не используется. Я опять не понимаю, в чем проблема. Где можно найти рабочий пример посмотреть?

[Михаил Братеньков]

xmoonlight, https://www.php.net/manual/ru/function.password-ve...

[Дмитрий]

66demon666, Вы внимательно читаете, что я Вам пишу?
Так же и документацию, наверное, читаете? Через десять слов перескакиваете.
Сравнивайте
Ваш код

public function validatePassword($password)
{
  return $this->paswordHash==$password;
}

Мой код

public function validatePassword($password)
    {
        return Yii::$app->security->validatePassword($password, $this->password_hash);
    }

[Дмитрий]

Где можно найти рабочий пример посмотреть?

66demon666, я Вам уже всё расписал!!!

[Дмитрий]

66demon666, удалите в таблице вообще поле password. Надеюсь миграциями Вы пользоваться научились?

[Mors Clamor]

Дмитрий, нашел уязвимое место.

<?php
$perem="Привет";
$hash="$2y$10$CK5ObV4M7EcqPFeEXWc64OtA8rbfmSQ86DZQmSRksqD3ChKBddBJ.";
if (password_verify($perem,$hash)) {
  echo "true";
}
else {
  echo "false";
}
echo strlen($hash);
?>

Выводит false и длину хэша 7 символов без каких-либо ошибок. Если же хэш взять в одинарные кавычки, то выводит true и длину хэша 60 символов. Интересно.

[Дмитрий]

66demon666, не там Вы ищите.

[Дмитрий]

66demon666, Вы внесли изменения в модели?
Опять не работает?
Покажите модели, которые Вы используете в данный момент.

[Дмитрий]

66demon666, и на всякий случай покажите действие контролера, в котором Вы обрабатываете данные из RegistForm и LoginForm

[Mors Clamor]

Дмитрий, сейчас работает, опять таки, по неясным причинам. Но уже работает, есть в чем разбираться. Спасибо, оформите как ответ, пожалуйста

[Дмитрий]

по неясным причинам

66demon666, очень даже по ясным причинам.
Оформил ответом.

Answer 1

[Дмитрий]

Удалите из метода beforeSave() в модели User установку пароля.
В модели User $this->password у Вас пустой, так как при регистрации Вы работаете с атрибутом модели RegisterForm, а не с атрибутом модели User.
В методе register установите пароль через setPassword()

public function register()
{
   if($this->validate())
   {
      /*****/
      $user->setPassword($this->password)
      $user->generateAuthKey();
      /****/
    }
}

В модели User создайте методы

public function generateAuthKey()
    {
        return $this->auth_key = Yii::$app->security->generateRandomString();
    }

public function validatePassword($password)
    {
        return Yii::$app->security->validatePassword($password, $this->password_hash);
    }

В LoginForm проверяйте пароль

public function validatePassword($attribute, $params)
    {
        if (!$this->hasErrors()) {
            $user = $this->getUser();

            if (!$user || !$user->validatePassword($this->password)) {
                $this->addError($attribute, 'Неправильные учетные данные');
            }
        }
    }

Answer 2

[Developer]

Решил я что открытый пароль это не кайф

Это не ты решил. Это айтишный опыт и теперь уже обычная практика

Answer 3

[Александр]

https://www.yiiframework.com/doc/guide/2.0/en/secu...