编辑时密码哈希两次 - CakePHP

Question

我有一个用户编辑视图。当人们访问此视图时，它的密码块中有散列密码。

如果您点击保存，它（显然）会再次对密码进行哈希处理，因为这在我的用户模型中。

public function beforeSave($options = array()) {
    if(!empty($this->data['User']['password'])) {
        $this->data['User']['password'] = AuthComponent::password($this->data['User']['password']);
    }
    return true;
}

但我不想让它散列两次（因为这意味着密码已更改）。我更改了编辑视图并将array('value' => '','autocomplete'=>'off') 添加到密码字段中。现在当我保存它时，它会在数据库中保存一个空白字符串。我认为它会阻止它使用beforeSave 函数中的if(!empty($this->data['User']['password'])) 语句来执行此操作。

如何防止密码被双重哈希？

Answer 1

解决方案相当简单。只需将 beforeSave 中的 if 语句更改为：

public function beforeSave($options = array()) {
    if(!empty($this->data['User']['password'])) {
        $this->data['User']['password'] = AuthComponent::password($this->data['User']['password']);
    }
    return true;
}

到：

public function beforeSave($options = array()) {
    if(!empty($this->data['User']['password'])) {
        $this->data['User']['password'] = AuthComponent::password($this->data['User']['password']);
    } else {
        unset($this->data['User']['password']);
    }
    return true;
}

Answer 2

比较哈希值：

您可以将保存在数据库中的哈希值与密码字段中的文本进行比较。如果您没有触摸密码（更改密码字段），哈希值应该匹配。假设您保存的散列是xyz，而密码散列中加载的散列仍然保持不变，xyz；在这种情况下，您不必重新散列任何内容，并且散列应该保持不变。

在另一种情况下，假设您保存的哈希是xyz，但您将密码html字段编辑为abc；在这种情况下，您必须重新设置新密码 (abc)，然后替换数据库记录中的旧密码。

所有这些都可以翻译成如下代码：

public function beforeSave($options = array()) {

    if (isset($this->data[$this->alias]['password'])) {

        if(isset($this->data[$this->alias]['id'])) {
            $id = $this->data[$this->alias]['id'];
            $user = $this->findById($id);
        } else {
            $id = false;
        }

        if(!$id || $this->data[$this->alias]['password'] != $user['User']['password']) {
            $passwordHasher = new SimplePasswordHasher();
            $this->data[$this->alias]['password'] = $passwordHasher->hash(
                $this->data[$this->alias]['password']
            );
        }

    }

    return true;
}

问候， M

Answer 3

在您的视图中使用备用字段名称（例如 $this->Form->password('pwd')）

public function beforeSave($options = array()) {
    if (!empty($this->data[$this->alias]['pwd'])) {
        $this->data[$this->alias]['password'] = AuthComponent::password($this->data[$this->alias]['pwd']);
 }
    return true;
}

这可以防止密码被覆盖/空白。 信用、解释和其他最佳实践at this link.

Answer 4

通常用户编辑页面与您描述的不同。如果您存储散列密码，则密码永远不会在编辑视图中返回。

如果用户想要更改他的密码，一个表单通常包含 3 个字段

• 旧密码
• 新密码
• 新密码（检查是否与之前的密码相同）

接下来会发生什么：

• 检查两个新密码是否相等
• 散列旧密码
• 哈希新密码
• 检查旧密码散列是否等于数据库中的散列...如果是，旧散列将被新散列替换

在您的示例中，您无法区分散列和常规密码，因此您的代码可能永远不会在其当前状态下工作，因为散列也只是一个字符串文字。

Answer 5

public function beforeSave($options = array()) {
    if(AuthComponent::user('id') == null)
        if (isset($this->data[$this->alias]['password'])) {
            $this->data[$this->alias]['password'] = AuthComponent::password($this->data[$this->alias]['password']);
        }
        return true;
}