sfDoctrineGuardPlugin et hashage de mot de passe

Version imprimable

Bonjour,
j'ai installé sfDoctrineGuardPlugin et personnalisé les actions sfGuardAuth comme indiqué au paragraphe "Customize sfGuardAuth module actions" de la documentation du plugin. C'est notamment pour vérifier que le compte a été activé, que l'utilisateur n'a pas été banni, etc. Mais l'authentification me pose des problèmes. Voici un portion du configure de mon formulaire signin
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 $this->setValidators(array( 'password' => new sfValidatorString( array('required' => true), array('required' => 'Vous devez fournir votre mot de passe') ); $this->validatorSchema->setPostValidator( new sfValidatorCallback(array('callback' => array($this, 'checkLogin'))) ); public function checkLogin($validator, $values) { if ($membre->getPassword() != md5($values['password'])) { // Mot de passe incorrect throw new sfValidatorError($validator, 'Mot de passe incorrect.'); } }
Moi j'ai pensé que pour crypter les mots de passe, sfGuard utiliser la fonction md5, mais ca me renvoie toujours "mot de passe incorrect". Quelqu'un sait comment les mots de passe sont cryptés dans sfGuard ? où md5 donne-t-il des résultats différents sur une même chaîne ? Merci de vos réponses.

31/10/2010, 19h38
Inarius
Salut,

Alors pour doctrine guard plugin, tu as déjà une fonction toute faite pour vérifier le mot de passe. Cette fonction est 'executeSignin' qui est dans 'plugins/sfDoctrineGuardPlugin/modules/sfGuardAuth/lib/BasesfGuardAuthActions.class.php'

Tu peut t'en inspirer pour réécrire ton action de connection.

Ensuite pour faire beaucoup plus simple pour l'indentification, tu peut modifier l'option 'is_secure' dans tes fichiers 'security.yml'

Si jamais tu met 'is_secure' à 'true', symfony va vérifier tout seul si l'utilisateur est connecté, et si il ne l'est pas, il va afficher la page de login.

Donc pour résumer tu as deux possibilités :
- simplement activer le module 'sfGuardAuth' dans l'application ou tu doit identifier l'utilisateur et mettre le paramètre 'is_secure' à true. Comme ca même pas besoin de réecrire la fonction de vérification du mot de passe, ...
- Tu peut surcharger la classe sfGuardAuthActions, mais à ce moment la tu réécrit un peu la roue, ce qui n'est pas nécessaire AMHA
J'espere que j'ai pu t'aider,

Inarius
31/10/2010, 19h49
Cethywolf

En complément d'information :
Vas simplement voir à quoi ressemble les données enregistrés par sfGuard dans ta bdd : tu peux voir un champs "algorithm" qui contient le nom de l'algo de cryptage utilisé pour le user.
Par défaut, c'est sha1.
En + de ca, sfGuard utilise un système de grain de sable (champ salt dans la bdd) pour rendre le craquage du mot de passe plus difficile, blablabla, jvais pas te faire un cours sur la sécurité :P
01/11/2010, 19h46
etoileweb

D'après mes recherches, le mot de passe est crypté non seulement avec la valeur entrée, mais aussi avec la valeur des username, de l'email et du timestamp de l'inscription, si bien que le reconstituer par soi à partir de la seule valeur entrée par l'utilisateur est pratiquement impossible. J'ai du créer un autre champ de password ou j'entre les mots de passe uniquement hashé avec md5.
01/11/2010, 19h59
dourouc05

Précision sur le langage assez importante : quand on chiffre, on effectue un cryptage, le but est de transformer le message de telle sorte qu'on puisse le récupérer (exemple : Rijndael/AES) ; quand on hashe, on ne veut qu'une empreinte unique, on ne veut en aucun cas retrouver l'original (exemples : SHA-1, MD4, MD5). Maintenant, utiliser du MD5... c'est mal. C'est très mal. Il n'est plus, cryptographiquement parlant, considéré comme sûr depuis 2004. Voir à ce sujet Wikipedia, par exemple, ainsi que ses références. Utiliser du SHA1, disponible en standard dans PHP (sha1() au lieu de md5()), est nettement meilleur.

Et là... je remarque que tu souhaites récupérer les mots de passe de tes utilisateurs ?! Tout est prévu justement pour l'éviter !

Si tu veux bannir des utilisateurs, il doit être possible d'avoir quelque chose de http://www.symfony-project.org/plugi...ineApplyPlugin. Un utilisateur non confirmé ne peut pas se logger. Tu dois pouvoir te baser sur ce qu'ils font. Ils mettent d'ailleurs de base l'activation, ce que tu recherches ! Ne recode pas toi-même ce qui existe déjà, ça s'appelle réinventer la roue et ça a pour synonyme "perte de temps".
02/11/2010, 08h59
etoileweb

Je suis entièrement d'accord. Si on doit réinventer la roue, mieux vaut ne pas utiliser symfony:mouarf:. Je n'avais pas connaissance de ce plugin. J'y jette un coup d'oeil en attendant. A bientôt.
03/11/2010, 15h25
etoileweb

J'ai téléchargé l'archive du plugin et je l'ai bien installé. La tâche symfony doctrine:generate-migrations-diff s'est passée sans problème. Mais j’exécute symfony doctrine:migrate, ca génère quantité d'erreur dont celle-ci:

Code:

Base table or view already exists.

J'ai fait un peu de recherches, mais je n'ai rien trouvé de solide pour m'en tirer. Tu peux aider ? merci.