Какой смысл в PasswordEncoderInterface когда есть и используется везде UserPasswordEncoderInterface?

Question

[BonBon Slick]

https://github.com/symfony/symfony/blob/5.x/src/Sy...

UserPasswordEncoderInterface
Я не понимаю для чего первый сервис. Всегда и везде использовал второй.
Поковырял конечно исходники, но так и не понял для чего.
Для тех кто не знает

if ($encoder->isPasswordValid($user->toPassword()->password(), $typedPassword, $user->getSalt())) {
            return;
                }
        }

Против

if (false === $this->passwordEncoder->isPasswordValid($user, $request->get('password'))) {
            return;
        }

Answer 1

[BoShurik]

UserPasswordEncoderInterface - всего лишь сахар при использовании в простых кейсах.
К примеру у вас есть сущность

class User implements UserInterface
{
    public function __construct(string $username, string $password)
    {
        $this->username = $username;
        $this->password = $password;
    }
}

В данном случае $password - это не plainPassword, а уже захешированный.
Как создать такую сущность, если UserPasswordEncoderInterface требует инстанс этого класса?

$user = new User($username, $this->encodePassword($plainPassword));

private EncoderFactoryInterface $encoderFactory;
private function encodePassword(string $plainPassword): string
{
    $encoder = $this->encoderFactory->getEncoder(User::class);

    return $encoder->encodePassword($plainPassword, null);
}

Eсли уж быть точнее, то ответ на вопрос "Какой смысл в PasswordEncoderInterface если есть UserPasswordEncoderInterface?" - нельзя, не нарушая SRP, реализовать UserPasswordEncoderInterface, не имея при этом PasswordEncoderInterface и EncoderFactoryInterface, т.е. это интерфейс более высокого уровня, чем PasswordEncoderInterface

P.S. Соль хранить не надо. В данном случае это рудимент, который остался от первых версий, когда не использовался password_hash, который добавляет метаданные рядом с хешем. Достаточно создать метод-заглушку:

public function getSalt()
{
    return null;
}

Comments

[BonBon Slick]

Понимаю, какраз использую encodePassword после того как инстанс юзера создан и потом сажу захешированый пароль юзеру. Особо затруднений и неудобств никаких нет.

Я сейчас в размышленях, надо ли хранить Salt, соль которой шифруем пароль для юзера. Ведь если использовать argon2 то надобность в salt и темболее ее хранения в БД отпадает.

НО, UserInterface::getSalt нас все еще заставляют его хранить и использовать, зачем?

[BonBon Slick]

А вообще, там уже есть такое
algorithm: 'auto'
для конфигов

security:

  encoders:
    App\Domain\UserPack\User\Entity\User:
      #        algorithm: 'argon2i'# Enabled in symfony 4.1
      algorithm: 'auto'
  #      cost     : 12

который по идее сам выберет самый актуальный и надежный, или рандомный

[BoShurik]

Соль хранить не надо. В данном случае это рудимент, который остался от первых версий, когда не использовался password_hash, который добавляет метаданные рядом с хешем.

Понимаю, какраз использую encodePassword после того как инстанс юзера создан и потом сажу захешированый пароль юзеру. Особо затруднений и неудобств никаких нет.

Как я сказал выше, это применимо для простых случаев. Если это ваш кейс, то используйте UserPasswordEncoderInterface и не парьтесь.

Ответ на ваш вопрос "Какой смысл?" - снизить количество бойлерплейта для простых случаев

[BoShurik]

Andrew Stark, ну если уж быть точнее, то ответ на вопрос "Какой смысл в PasswordEncoderInterface если есть UserPasswordEncoderInterface?" - нельзя, не нарушая SRP, реализовать UserPasswordEncoderInterface, не имея при этом PasswordEncoderInterface и EncoderFactoryInterface, т.е. это интерфейс более высокого уровня, чем PasswordEncoderInterface

[BoShurik]

НО, UserInterface::getSalt нас все еще заставляют его хранить и использовать, зачем?

Он не заставляет

This can return null if the password was not encoded using a salt.

public function getSalt()
{
    return null;
}

[BonBon Slick]

BoShurik, да, имел ввиду что метод надо все же обьявлять. Спасибо, можете вынести ваши ласт 3 комента в ответ.

[BoShurik]

Andrew Stark, поправил. Часть про соль вынес в PS, ибо в самом вопросе о ней речи не шло...