Как выкинуть пользователей при смене пароля в Yii2?

Question

[Praporshhik_Zadov]

При смене пароля, ранее залогиненные пользователи со старым паролем, остаются залогиненными. Как можно сделать, чтоб при смене пароля, таких пользователей выкидывало из системы?

Answer 1

[Максим]

Аутентификация в Yii2 работает не только через сессии. Еще есть кука \yii\web\User::$identityCookie. Если сессия удалена, или протухла по времени, то фреймворк восстановит пользовательскую аутентификацию через эту самую куку. То есть, в первую очередь, нужно сбросить куку.

За валидацию пользовательских cookie отвечает \yii\web\IdentityInterface::getAuthKey. На стороне БД обычно это поле auth_key в таблице user. Его содержимое нужно перегенерить новым случайным значением при смене пароля.

А, затем, если в вашем случае сеcсии хранятся в базе данных, удалить все сесcии конкретного пользователя. Для этого таблица с сессиями должна иметь поле с пользовательским ID.

Если используются встроенные сессии, то это можно не делать. Сессия и сама протухнет достаточно быстро.

Посмотрите уроки касательно этой темы.

Comments

[Praporshhik_Zadov]

Генерация нового auth_key не помогает.

[Максим]

Praporshhik_Zadov, Читайте документацию!

public function validateAuthKey($authKey)
    {
        return $this->getAuthKey() === $authKey;
    }

User и Identity лучше сразу отделить!

[Максим]

вот так это может выглядеть. При смене authKey вас разлогинивает. Можно разлогинивает даже при смене username или email.

Answer 2

[Алексей Петров]

config/main.php:

'components'=>[],
'on beforeRequest' => function () {
        $user = Yii::$app->user->identity;

        if ($user && $user->passwordChaged) {
            $user->passwordChaged = false;
            $user->save();
            Yii::$app->user->logout();
        }
    },

Comments

[Praporshhik_Zadov]

А если несколько пользователей залогинено под одним логином? Тут, получается, только первого выкидываем?

[Алексей Петров]

Действительно, не учел этот момент. Можно проверять тогда так:

// ...
if ( $user && (Yii::$app->session->get('passwordChangeDate') != $user->passwordChangeDate) ) {
    // Так даже пользователя обновлять не нужно
    Yii::$app->user->logout();
}
// ...

При логине соответственно:

Yii::$app->session['passwordChangeDate'] = $user->passwordChangeDate;

[Максим]

Алексей Петров, все все делаете через конфиге и befofeAction?) Документацию тоже не учили читать и изучать как работает проверка кук, сессий?) Вам для этого надо дор поле) А если изменился email, токен, телефон? Будет второе доп. поле, полагаю?) Или это измените под что-то общее?) Вариантов может быть много) Изучайте Identity который отвечает за это все и по умолчанию привязан к user. Но можно и вынеси это все отдельно.

По моему там для русских написано:

findIdentity(): Этот метод находит экземпляр identity class, используя ID пользователя. Этот метод используется, когда необходимо поддерживать состояние аутентификации через сессии.
findIdentityByAccessToken(): Этот метод находит экземпляр identity class, используя токен доступа. Метод используется, когда требуется аутентифицировать пользователя только по секретному токену (например в RESTful приложениях, не сохраняющих состояние между запросами).
getAuthKey(): Этот метод возвращает ключ, используемый для основанной на cookie аутентификации. Ключ сохраняется в аутентификационной cookie и позже сравнивается с версией, находящейся на сервере, чтобы удостоверится, что аутентификационная cookie верная.
validateAuthKey(): Этот метод реализует логику проверки ключа для основанной на cookie аутентификации.

[Алексей Петров]

Максим, При наличии сессии из нее тянется id залогиненного пользователя $session->get($this->idParam) yii\web\User::renewAuthStatus():685 поэтому, как уже написали выше,

Генерация нового auth_key не помогает.