Eigene Passwortabfrage

**TLight** · 23.02.2017, 08:16

Hallo!

Ich möchte gerne die Benutzernamen und Passwörter der Mitglieder aus der tl_member für einen weiteren Login außerhalb Contao nutzen. Leider verstehe ich nicht, wie ich das eingegebene Passwort verschlüsseln muss, damit ich es mit dem gespeicherten vergleichen kann. Früher wurde wohl der salt nach einem ":" mitgeliefert.

Zitat von raveolution

Hallo asteireif,

wenn ich den Code in der User.php richtig verstehe ist es wirklich so, dass für jedes Passwort ein neuer Salt generiert wird und zusammen mit dem Passwort (getrennt durch : ) in der DB gespeichert wird.

Dabei wird der Salt so generiert:

PHP-Code:


$strSalt = substr(md5(uniqid(mt_rand(), true)), 0, 23);

$strPassword = sha1($strSalt . $this->Input->post('password'));

$this->password = $strPassword . ':' . $strSalt;

Und genau so kannst du es ja dann auch wieder validieren. Nur generierst du dann keinen neuen Salt, sondern nimmst den Salt hinter dem Passwort aus der DB.

Wie funktioniert das mit Contao 3.5.x?

Vielen Dank für Eure Hilfe!

**the_scrat** · 23.02.2017, 08:19

Hi,

in Contao 3.5 wird das so gemacht:

PHP-Code:


\Encryption::hash('passwort');

**TLight** · 23.02.2017, 08:21

Hallo!

Vielen Dank! Aber bei dieser Abfrage befinde ich mich nicht in Contao sondern in einem eigenen kleinen php-Skript.

**the_scrat** · 23.02.2017, 08:23

Hi,

na dann schau dir doch einfach an was die hash Methode macht und übernimm sie 1:1 in dein kleines Script

PHP-Code:


/**
 * Generate a password hash
 *
 * @param string $strPassword The unencrypted password
 *
 * @return string The encrypted password
 *
 * @throws \Exception If none of the algorithms is available
 */
public static function hash($strPassword)
{
   $intCost = \Config::get('bcryptCost') ?: 10;

   if ($intCost < 4 || $intCost > 31)
   {
      throw new \Exception("The bcrypt cost has to be between 4 and 31, $intCost given");
   }

   if (function_exists('password_hash'))
   {
      return password_hash($strPassword, PASSWORD_BCRYPT, array('cost'=>$intCost));
   }
   elseif (CRYPT_BLOWFISH == 1)
   {
      return crypt($strPassword, '$2y$' . sprintf('%02d', $intCost) . '$' . md5(uniqid(mt_rand(), true)) . '$');
   }
   elseif (CRYPT_SHA512 == 1)
   {
      return crypt($strPassword, '$6$' . md5(uniqid(mt_rand(), true)) . '$');
   }
   elseif (CRYPT_SHA256 == 1)
   {
      return crypt($strPassword, '$5$' . md5(uniqid(mt_rand(), true)) . '$');
   }

   throw new \Exception('None of the required crypt() algorithms is available');
}

**TLight** · 23.02.2017, 09:51

Hallo!

Habe ich probiert, aber das funktioniert außerhalb der Contao-Umgebung ja auch nicht.

Man müsste den Code ja umschreiben, denn

PHP-Code:


\Config::get('bcryptCost')

müsste auch wieder ersetzt werden. Zudem gibt es schon Probleme beim erstellen der Funktion

PHP-Code:


public static function hash($strPassword)

Code:

Parse error: syntax error, unexpected 'public' (T_PUBLIC)

bzw.

Code:

Fatal error: Cannot redeclare hash()

Und hier sieht man mal wieder, dass ich ein absoluter php-DAU bin.

Ich hatte gehofft, dass es evtl. einen kleinen Dreizeiler (wie oben zitiert) gibt.

**PaddySD** · 23.02.2017, 10:07

Warum machst Du es nicht "ordentlich" und bindest das andere Skript in Contao ein? Dann könntest Du ja auf alles zugreifen....?

Wie sieht denn Dein Script aus, zeig doch mal...

**the_scrat** · 23.02.2017, 10:09

Ohje,

hier die "Musterlösung", weil sonst wird das nie was ;-)
Und ja, natürlich hättest du das Script noch umschreiben müssen und es ist auch klar, dass du nicht einfach eine nackte Methode in ein Script ohne Klasse packen kannst.

Füg in dein PHP-Script das hier ein, dann müsste es passen. In $strHash hast du dann deinen Hash

PHP-Code:


   
function passworthash($strPassword)
{
    $intCost = 10;


   if (function_exists('password_hash'))
   {
      return password_hash($strPassword, PASSWORD_BCRYPT, array('cost'=>$intCost));
   }
   elseif (CRYPT_BLOWFISH == 1)
   {
      return crypt($strPassword, '$2y$' . sprintf('%02d', $intCost) . '$' . md5(uniqid(mt_rand(), true)) . '$');
   }
   elseif (CRYPT_SHA512 == 1)
   {
      return crypt($strPassword, '$6$' . md5(uniqid(mt_rand(), true)) . '$');
   }
   elseif (CRYPT_SHA256 == 1)
   {
      return crypt($strPassword, '$5$' . md5(uniqid(mt_rand(), true)) . '$');
   }
}

$strHash = passworthash('passwort_im_klartext');

**TLight** · 23.02.2017, 10:14

Da hast Du Recht!!!

Das funktioniert schon super. Nur noch eine Kleinigkeit...
Der Salt wird ja noch per Zufall erstellt, weshalb das mit dieser Methode verschlüsselte Passwort nicht dem in der Datenbank gespeicherten entspricht. Kann man den Salt aus dem alten Passwort herauslesen, wie das früher ging?

Vielen Dank für Deine Bemühungen!

**the_scrat** · 23.02.2017, 10:18

Was für ein Contao hast du denn im Einsatz? In Contao 3 werden alle alten Passworthashes automatisch in das neue Format gebracht. Welche Hashes hast du denn in der DB? Ansonsten müsste halt noch der 3 Zeiler aus deinem ersten Post zur Verifizierung verwendet werden.

**TLight** · 23.02.2017, 10:44

Ich benutze Contao 3.5.x

Die Passwörter sehen z. so aus: $2y$10$89d523a86622a9cb61c2euABezFbSnrXxxZrLZwNVej yJFctqN6wS (natürlich sind die Xxx durch andere Zeichen ersetzt).

**the_scrat** · 23.02.2017, 10:46

Ja also was willst du dann irgendwelche Salt auslesen? Vergleich doch einfach den generierten Hash mit dem Hash in der DB und alles ist gut

**TLight** · 23.02.2017, 10:58

Weil der Hash für das gleiche Passwort in der Datenbank so
$2y$10$89d523a86622a9cb61c2euABezFbSnrXxxZrLZwNVej yJFctqN6wS
und nach Deinem Skript so
$2y$10$xVjyWz1D3OkVrorUT0fRjuuXNfz060XxX1Zty/pcaN9cebMzqODHu
aussieht und ich dachte, dass das evtl. an einem Hash liegt.

**tl_richard_user** · 23.02.2017, 11:12

Anstatt hash == \Encryption::hash() zu benutzen,
wäre es richtiger \Encryption::verify(password, hash) zu verwenden.
Oder gleich einfach nur password_verify() verwenden. Darauf kommt es bestimmt auch nicht mehr an.

**TLight** · 23.02.2017, 11:41

Hallo Richard!

Ich denke, dass das password_verify() genau das ist, was ich suche. Außerhalb Contaos wird diese Funktion aber wahrscheinlich nicht definiert sein. Weißt Du zufällig, wo ich den Code dazu finde?

**TLight** · 23.02.2017, 11:43

Blödsinn, sorry!

Natürlich ist das eine php-Befehl. Aber nun brauche ich wieder einen Hash...

**tl_richard_user** · 23.02.2017, 11:44

Die Funktion ist außerhalb Contao ab PHP5.5 definiert; sollte auf jeden Fall machbar sein. Der Host, auf der Contao läuft, un der host, auf der das Skript läuft, brauchen PHP 5.5 dann