0

我现在正在使用 CakePHP,如果我的用户忘记了他们的密码,我希望允许他们重置密码。(即我用他们的新临时密码向他们发送邮件)。

但有一个问题。存储在我的数据库中的密码由 Auth 组件进行哈希处理,这意味着如果我尝试从我的用户模型中选择所有密码,我将获得密码的哈希版本。此外,我不知道如何在生成新密码后保存密码哈希。

我已经在谷歌上搜索了一段时间来找到这个问题的答案,但似乎找不到任何关于如何做到这一点的例子。

有没有人尝试过类似的事情或知道我该怎么做?

4

3 回答 3

1

好的,2.x 肯定提供了更多控制权。我只在我的用户模型的 beforeSave 方法中散列密码,就像你做的那样:

public function beforeSave() {
    if (isset($this->data['User']['password'])) { 
        $this->data['User']['password'] = AuthComponent::password($this->data['User']['password']);
    }
    return true;
}

这允许您在 Controller 的密码重置操作中以纯文本形式创建密码,将其通过电子邮件发送给用户,然后在 User 模型中设置密码并将其保存(密码在到达数据库之前经过哈希处理)。这里重要的是您的密码保持纯文本,直到您的控制器调用 save 方法。

通常,我总是在控制器操作中的密码字段上添加一个未设置的选项,以保存用户记录,以确保它不会被重新散列。第二种选择是向您的用户模型添加一个 afterFind 回调,该回调在每次加载用户模型时都会取消设置。

关于一次性重置键.... 我的用户对象中有一个附加字段,我在两种情况下使用它。电子邮件验证和密码重置。创建用户时,它被设置为 SHA1( + + )。一个链接通过电子邮件发送给用户,将他们发送到用户控制器的验证操作。一旦验证了该密钥,该列就会在数据库中被清除。

与密码重置相同。当他们请求重置时,值会以相同的方式生成,并且指向用户控制器的重置操作的链接会通过电子邮件发送给用户。他们输入他们的用户 ID,如果链接中的密钥与数据库行中的密钥匹配,他们就可以更改密码。当他们的密码被更改时,这个值会再次被清除。

发送临时密码的最大问题是它创建了 DoS 机制(针对用户,而不是您的站点)。如果我决定骚扰某人,我可以创建一个每小时不断重置密码的任务。他们在检查电子邮件之前无法进入,但随后它会再次更改。使用密钥,他们将收到一封带有重置链接的电子邮件,但他们当前的密码仍然有效,因为重置代码的存在不会阻止他们登录。

于 2013-10-14T15:42:39.620 回答
0

我认为您无法将加密密码转换为解密。因此,如果您想了解如何重置密码,请阅读 cakephp 的 CakeDC 插件。

https://github.com/CakeDC/users

这是 cakephp 的标准插件。

于 2013-10-14T15:08:48.550 回答
0

试试这个

function admin_reset($token = null) {

        /**
         * if logged in, send to home/dashboard page
         */
        if (count($this->Session->read("Auth.User"))) {
            return $this->redirect('/');
        }

        $this->set('title_for_layout', 'Reset Password');

        $this->layout = 'admin';
        $this->User->recursive = -1;
        if (!empty($token)) {
            $u = $this->User->findBytokenhash($token);
            if ($u) {
                $this->User->id = $u['User']['id'];
                if (!empty($this->data)) {
                    $this->User->data = $this->data;
                    $this->User->data['User']['username'] = $u['User']['username'];
                    $new_hash = sha1($u['User']['username'] . rand(0, 100)); //created token
                    $this->User->data['User']['tokenhash'] = $new_hash;


                    if ($this->User->save($this->User->data, false)) {
                        $this->Session->setFlash(__('Password has been updated.'), 'default', array('class' => 'alert alert-success'));
                        $this->redirect(array('controller' => 'users', 'action' => 'login'));
                    }
                }
            } else {
                $this->Session->setFlash(__('Token corrupted. Reset link work only for once, please try again.'), 'default', array('class' => 'alert alert-success'));
            }
        } else {
            //$this->redirect('/');
        }
    }
于 2015-03-09T09:10:14.827 回答