2

我在 Laravel 中使用 Cartalyst Sentinel 进行用户身份验证。我已经创建了我的表单来添加一个新用户。Sentinel::register()出于某种奇怪的原因,除非我将密码字段放入$fillableUser 类模型中的数组中,否则密码不会通过。这是一个潜在的安全问题。我怎样才能解决这个问题?使用 Sentinel 创建新用户时,我一定缺少一些东西(并且 Sentinel 文档对有用信息非常少)。

只是我正在做的代码明智的快速纲要。我的数组填充了创建用户所需的字段。这个数组被传递到Sentinel::register(). 一切似乎都很好,但是当我查看数据库时,密码字段为空白。

$newUser = array(
    '_token' => Input::get('_token'),
    'email' => Input::get('email'),
    'password' => Input::get('password'),
    'first_name' => Input::get('first_name'),
    'middle_name' => Input::get('middle_name'),
    'last_name' => Input::get('last_name'));

$user = Sentinel::register($newUser);

附带说明:不幸的是,我无法切换身份验证系统。我需要使用哨兵。

4

2 回答 2

1

如果您不想将其设置为可填充属性,则需要在新用户上手动设置密码选项。

$newUser = array(
'_token' => Input::get('_token'),
'email' => Input::get('email'),
'first_name' => Input::get('first_name'),
'middle_name' => Input::get('middle_name'),
'last_name' => Input::get('last_name'));

$user = Sentinel::register($newUser);

$user->password = Input::get('password');

$user->save();

您可能也需要在设置密码之前对其进行哈希处理,对吧?类似的东西$user->password = \Hash::make(Input::get('password'));。除非 Sentinel 自动执行此操作。

于 2016-02-10T01:35:01.203 回答
1

与杰夫的回答几乎相同的另一种方式。这应该基于 Sentinel 代码工作,虽然我没有使用过 Sentinel。部署前进行测试。

$newUser = array(
    '_token' => Input::get('_token'),
    'email' => Input::get('email'),
    'password' => Input::get('password'),
    'first_name' => Input::get('first_name'),
    'middle_name' => Input::get('middle_name'),
    'last_name' => Input::get('last_name')
);

Sentinel::register($newUser, function($user) use ($newUser) {
    try {
        return $user->password = \Hash::make($newUser['password']);
    } catch(RuntimeException $e) {
        return false;
    }
});

回调在填充方法之后运行,因此它应该绕过 $fillable 限制,如果您的设计需要,您可以从可填充中删除密码。
如果回调中返回 false,则不会创建用户。

于 2016-02-10T02:21:38.010 回答