我可以使用 phpBB 作为“假”识别提供者吗？

Question

我有很多用户在 phpBB 论坛上拥有帐户。

我希望他们能够在新网站上重复使用他们的用户名和密码。

所以计划是，如果我在我的应用程序中查找用户名/密码，但它丢失了，我想调用 phpBB 上的一个页面，它会告诉我：

1. 如果用户名/密码有效
2. 用户的电子邮件地址。

我还希望 phpBB 端的页面能够防止暴力攻击。

理想情况下，我希望我的解决方案能够开箱即用，而无需在 phpbb 论坛上部署其他文件，这样我的解决方案将能够重复使用任何 phpbb 密码。

为了额外的好处，我允许我的用户使用电子邮件或密码进行身份验证，理想情况下也应该允许这样做。

有什么方法可以在不改变phpBB的情况下实现这一点？

如果没有，有任何示例实现吗？

Answer 1

您可以直接访问 phpBB 数据库吗？如果是这样，您的独立身份验证脚本可以简单地针对该数据库验证密码，就像您针对您自己的内部数据库验证密码一样。

那样，phpBB 代码是完全不相关的，除非他们在未来的版本中彻底改变他们的身份验证方案（这似乎不太可能），并在不同的 phpBB 安装中重用您自己的代码（听起来像你想要的）你只需要配置适当的数据库连接信息。

Answer 2

如果您有权访问特定 phpBB 所依赖的数据库，则可以完全绕过 phpBB 文件并访问 phpBB 的用户表（从安全角度来看是可怕的，但如果这是一个值得信赖的东西并且一切都一致的话，然后可行）。

除此之外，您可以尝试制作插件或以某种方式扩展身份验证，以使您自己的用户 API 可以从您的站点访问。