Auth::attempt 值始终为 false

【问题标题】:Auth::attempt value always falseAuth::attempt 值始终为 false
【发布时间】:2020-07-25 17:50:42
【问题描述】:

我想登录时遇到了一些问题,我的Auth::attempt 总是错误的值有问题,我的代码有问题吗?

控制器:

public function register(Request $register)
{
    $validator = Validator::make($register->all(), [
        'name' => 'required',
        'email' => 'required|email',
        'password' => 'required',
    ]);
    if ($validator->fails()) {
        return response()->json(['error' => $validator->errors()], 401);
    } else {
        $name = $register->input('name');
        $email = $register->input('email');
        $pwd = $register->input('password');
        $c_pwd = $register->input('c_password');

        // Crypting password & c_password to md5
        $md5_pwd = md5($pwd);
        $md5_c_pwd = md5($c_pwd);

        // Salt password & c_password 
        $password = crypt($md5_pwd, "asd");
        $c_password = crypt($md5_c_pwd, "asd");

        $data = new User();

        if ($password == $c_password) {
            $user = User::create([
                'name' => $name,
                'email' => $email,
                'password' => $password,
            ]);
            $success['token'] = $user->createToken('SSOApp')->accessToken;
            return response()->json([
                'success' => true,
                'token' => $success,
                'user' => $user
            ]);
        } else {
            return response()->json(['error' => "Password doesn't match"], 401);
        }
    }
}

public function login()
{
    $email = request('email');
    $pwd = request('password');
    $md5 = md5($pwd);
    $password = crypt($md5, "asd");
    if (Auth::attempt(['email' => $email, 'password' => $password])) {
        $user = Auth::user();
        $success['token'] = $user->createToken('SSOApp')->accessToken;
        return response()->json([
            'success' => true,
            'token' => $success,
            'user' => $user
        ]);
    } else {
        return response()->json([
            'success' => false,
            'message' => 'Invalid Email or Password',
        ], 401);
    }
}

【问题讨论】:

  • 不推荐使用 md5() 而不是 bcrypt()。和 Auth::attempt 使用 bcrypt 检查用户密码。
  • 那么我必须为我的 md5() 和 bcrypt() 使用方法做什么?
  • 尽可能不要使用自己的加密。在保存用户密码的同时调用 Hash::make('string') 使用 laravel 默认 bcrypt()。
  • 所以只使用 bcrypt 的默认方法?无法使用其他方法?
  • 您可以通过在 config/hash.php 文件中指定驱动程序来使用其他驱动程序“bcrypt”、“argon”、“argon2id”进行散列,因为它们目前支持这 3 个驱动程序。因此,如果您想使用 laravel 默认的身份验证系统,请使用其中之一,否则创建您自己的身份验证系统(md5,或任何您想要的)

标签: laravel authentication laravel-passport


【解决方案1】:

我假设你搞砸了 Laravel 默认密码哈希系统

public function register(Request $register)
{
    $validator = Validator::make($register->all(), [
        'name' => 'required',
        'email' => 'required|email',
        'password' => 'required',
        'c_password' => 'required|same:password',
    ]);
    if ($validator->fails()) {
        return response()->json(['error' => $validator->errors()], 401);
    } else {
        $name = $register->input('name');
        $email = $register->input('email');
        $pwd = $register->input('password');
        $c_pwd = $register->input('c_password');


        // $data = new User();

        $user = User::create([
                'name' => $name,
                'email' => $email,
                'password' => bcrypt($password . 'salt'),
        ]);

        $success['token'] = $user->createToken('SSOApp')->accessToken;
        return response()->json([
                'success' => true,
                'token' => $success,
                'user' => $user
        ]);

    }
}

public function login()
{
    $email = request('email');
    $pwd = request('password');

    if (Auth::attempt(['email' => $email, 'password' => $password . 'salt'])) {
        $user = Auth::user();
        $success['token'] = $user->createToken('SSOApp')->accessToken;
        return response()->json([
            'success' => true,
            'token' => $success,
            'user' => $user
        ]);
    } else {
        return response()->json([
            'success' => false,
            'message' => 'Invalid Email or Password',
        ], 401);
    }
}

【讨论】:

  • 好的,这是工作,但我有一些问题,如果我使用 crypt($password, "salt")bcrypt($password . "salt") 是不同的方法?
  • 简短回答:是的。但是,我在文档中找不到任何关于 Laravel 中 crypt 用法的参考
  • 哈哈,谢谢,因为我从 CI 迁移到 Laravel,我认为 laravel 有一个类似于 CI 的 crypt,但不同的框架有不同的方法
【解决方案2】:

试试这个代码。我不知道您在attempt 中尝试加密的密码发生了什么变化。

public function login(LoginRequest $request) {
      if(!Auth::attempt([
        'email' => $request->email,
        'password' => $request->password,
        'active' => true
      ])) {
        return response()->json('Email or Password is incorrect', 500);
      }

      $this->user = Auth::user()->load('roles');
      return $this->createUserAccessTokenResponse();
    }

protected function createUserAccessTokenResponse() {
      return response()->json([
        'status' => 'success',
        'data' => [
          'token' => $this->user->createToken($this->user->name)->accessToken,
          'user' => $this->user
        ],
      ], 200);
    }

【讨论】:

    【解决方案3】:

    你的问题是 laravel 默认散列密码。因此,当您执行Auth::attempt 时,它将对您提供的密码进行哈希处理。结果就是你得到的,它永远是假的。

    相反,您需要Other Authentication Methods

    Auth::login($user);

// Login and "remember" the given user...
Auth::login($user, true);

    以上是修复代码的最简单方法。

    建议对您的密码进行哈希处理,而不是对密码进行加密。

    laravel 中的哈希密码也是

    Hash::make($password);

    然后您可以使用Auth::attempt 登录您的用户。

    【讨论】:

      【解决方案4】:

      Laravel Auth 在通过模型保存密码时使用 bcrypt 哈希,您可以使用两种方法中的任何一种

      $account->password = bcrypt("YOUR_PASSWORD");$account->password = Hash::make("YOUR_PASSWORD");

      如果你正在处理 auth attempt 函数,只需简单地调用这样的方法

      if($account = Auth::attemp(['email' => "YOUR_EMAIL@DOMAIN.COM",  'password' => "YOUR_PASSWORD"])){
    //success login, do your extra job here
}else{
    //invalid credentials here
}

      【讨论】:

        【解决方案5】:

        而不是使用md5crypt 使用\Hash::make() 它更安全
        我重构了你的代码,它做了同样的事情
        您只需将c_password 重命名为password_confirmation
        Source
        下面的代码和你的代码做同样的事情

        public function register(Request $register)
{
    $this->validate($register, [
        'name' => 'required',
        'email' => 'required|email',
        'password' => 'required|confirmed',
    ]);

    $user = User::create([
        'name' => $register->input('name'),
        'email' => $register->input('email'),
        'password' => $register->input('password'),
    ]);
    $success['token'] = $user->createToken('SSOApp')->accessToken;

    return response()->json([
        'success' => true,
        'token' => $success,
        'user' => $user,
    ]);
}

public function login(Request $request)
{
    $request->merge(['password' => \Hash::make($request->input('password'))]);

    if (Auth::attempt($request->only(['email', 'password']))) {
        $user = Auth::user();
        $success['token'] = $user->createToken('SSOApp')->accessToken;

        return response()->json([
            'success' => true,
            'token' => $success,
            'user' => $user,
        ]);
    }

    return response()->json([
        'success' => false,
        'message' => 'Invalid Email or Password',
    ], 401);
}

        当您使用 crypt 对密码进行哈希处理时,它有一个解锁密码的密钥,这就是为什么有一个 decrypt 但是当您使用 Hash::make() 它没有破解或解锁它的密钥时,它会检查它算法来查看给定的密码是否与数据库中已经存在的算法相匹配,这就是为什么crypt 不安全而 Hash::make 更安全

        【讨论】:

        • 我只使用默认的 bcrypt 没有什么不同?然后在注册函数里面bcrypt用来加密密码?
        • 我更新了我的答案并描述了为什么 hash::make 更好
        猜你喜欢
        • 1970-01-01
        • 2017-05-11
        • 2019-05-24
        • 2014-03-15
        • 2014-11-22
        • 2012-10-25
        • 1970-01-01
        • 2016-09-12
        • 2017-05-24
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode