1

我有很多用户在 phpBB 论坛上拥有帐户。

我希望他们能够在新网站上重新使用他们的用户名和密码。

所以计划是,如果我在我的应用程序中查找用户名/密码,但它丢失了,我想调用 phpBB 上的一个页面,它会告诉我:

  1. 如果用户名/密码有效
  2. 用户的电子邮件地址。

我还希望 phpBB 端的页面可以防止暴力攻击。

理想情况下,我希望我的解决方案能够开箱即用,而无需在 phpbb 论坛上部署其他文件,这样我的解决方案将能够重新使用任何 phpbb 密码。

为了获得额外的好处,我允许我的用户使用电子邮件或密码进行身份验证,理想情况下也应该允许这样做。

有什么方法可以在不改变 phpBB 的情况下实现这一目标?

如果没有,任何示例实现?

4

2 回答 2

4

您可以直接访问 phpBB 数据库吗?如果是这样,您的独立身份验证脚本可以简单地针对该数据库验证密码,就像您针对您自己的内部数据库验证密码一样。

那样的话,phpBB 代码是完全不相关的,除非他们在未来的版本中彻底改变他们的身份验证方案(这似乎不太可能),并在不同的 phpBB 安装中重用你自己的代码(这听起来像你想要的)您只需要配置适当的数据库连接信息。

于 2009-08-20T22:58:37.903 回答
1

如果您有权访问特定 phpBB 所依赖的数据库,则可以完全绕过 phpBB 文件并访问 phpBB 的用户表(从安全角度来看这很可怕,但如果这是一个受信任的东西并且一切都是一致的,那么请执行-有能力的)。

除此之外,您可以尝试制作插件或以某种方式扩展身份验证,以使您自己的用户 API 可以从您的站点访问。

于 2009-08-20T23:01:21.453 回答