Projektplanung: Mitglieder dynamisch

**Lengen1971** · 20.08.2015, 09:47

Hi,

ich plan grad ein Modul indem Mitglieder dynamisch über eine CSV-Datein eingepflegt werden sollen.

Das mach ich über das Member-Model, meine Frage ist jetzt, ob ich dem Mitglied beim Erstellen über die
API auch gleich ein Contao-gültiges Kennwort erstellen kann. Das muss ja irgendwie verschlüssel sein...

PHP-Code:


$tmpPass="12345KekseFuerAlle";

$myModel->password= ??

$myModel->password_config= ??

Gibt´s da auch was in der API?

Danke und VG
Michel

**fiedsch** · 20.08.2015, 11:20

In ModulePassword.php wird das in der Methode setNewPassword() so gemacht:

PHP-Code:


$objMember->password = $objWidget->value;

In Deinem Fall also

PHP-Code:


$objMember->password = $tmpPass;

Das sieht für mich so aus, als ob das Verschlüsseln dann transparent gemacht würde -- wo und von wem kann ich Dir im Moment nicht sagen.

Probiere es doch einfach mal aus und schau dann nach, was in der Datenbank steht.

**Lengen1971** · 20.08.2015, 11:30

Ah ok, dann probier ich das mal aus und dann seh ich weiter.

VG und Danke.

**the_scrat** · 20.08.2015, 11:40

PHP-Code:


$strVerschluesseltesPasswort =  \Encryption::hash('Passwort_was_verschlüsselt_werden_soll');

**MarcusC** · 20.08.2015, 12:52

Zitat von the_scrat

PHP-Code:


$strVerschluesseltesPasswort =  \Encryption::hash('Passwort_was_verschlüsselt_werden_soll');

Macht er das Verschlüsseln nicht automatisch über die Funktion wie von fiedsch beschrieben?

**the_scrat** · 20.08.2015, 12:55

Probiers halt aus ;-)

Ich meine nein, weil ja nirgends mitgeteilt wird, dass es sich um ein Passwort handelt. $objWidget->value kann ja auch nur ein Text sein etc.

**MarcusC** · 20.08.2015, 13:19

Zitat von the_scrat

Probiers halt aus ;-)

Ich meine nein, weil ja nirgends mitgeteilt wird, dass es sich um ein Passwort handelt. $objWidget->value kann ja auch nur ein Text sein etc.

wird nichts anderes übrig bleiben, wenn fast gar nichts dokumentiert ist ...

**the_scrat** · 20.08.2015, 13:24

Der Quellcode ist die beste Dokumentation ;-) Und so schwer ist es jetzt nicht mal das Modul Registrierung zu finden und nachzuvollziehen was da passiert. Ich hab einfach nur nach "$this->password" gesucht, notfalls würde sogar " 'password' " reichen, denn irgendwo muss das Feld ja auch verarbeitet werden.

**MarcusC** · 20.08.2015, 13:41

stimmt.
aber bei jedem anderen CMS gibts schöne Dokumentationen, wie was funktioniert (/funktionieren sollte), außer bei Contao.
... heißt es halt Quelltext lesen und selbst aufschreiben.

**the_scrat** · 20.08.2015, 13:43

Das ist richtig.

Daher gibt es nur 3 Möglichkeiten:

1. Geh zu dem CMS mit der tollen Dokumentation
2. Hilf mit die Contao Dokumentation zu verbessern
3. Scheiss auf die Dokumentation und find dich im Quelltext zurecht.

**MarcusC** · 20.08.2015, 13:47

Zitat von the_scrat

Das ist richtig.

Daher gibt es nur 3 Möglichkeiten:

1. Geh zu dem CMS mit der tollen Dokumentation

nein, weil Wordpress doof ist

Zitat von the_scrat

2. Hilf mit die Contao Dokumentation zu verbessern

Ja, wie und wo darf ich mich hier melden? Beim letzten Versuch hier diesbezüglich mit Leo in Verbindung zu treten wurde ich etwas barsch darüber informiert, dass es dies bereits gibt. (damals noch zu Version 2.11.x)

Zitat von the_scrat

3. Scheiss auf die Dokumentation und find dich im Quelltext zurecht.

läuft wohl oder übel hierauf raus.

**the_scrat** · 20.08.2015, 13:49

https://docs.contao.org

Hier kann jeder mitarbeiten.

**fiedsch** · 20.08.2015, 15:33

Zitat von MarcusC

... heißt es halt Quelltext lesen und selbst aufschreiben.

nicht ganz!

Selbst aufschreiben und bei der Contao Doku mitarbeiten ;-)

https://docs.contao.org/en/ -> Developer Documentation
oder https://github.com/contao/docs

**fiedsch** · 20.08.2015, 15:41

Zitat von the_scrat

Ich meine nein, weil ja nirgends mitgeteilt wird, dass es sich um ein Passwort handelt. $objWidget->value kann ja auch nur ein Text sein etc.

Edit: folgendes ist FALSCH (s.u. in #16)

Für mich sieht es so aus, also ob in diesem Moment auch plain Text in die DB geschrieben wird und später beim ersten Login das gehashte Password abgelegt wird.

core/library/Contao/User.php:

PHP-Code:


                if (\Encryption::test($this->password))

        {

            $blnAuthenticated = (crypt(\Input::postUnsafeRaw('password'), $this->password) === $this->password);

        }

        else

        {

            list($strPassword, $strSalt) = explode(':', $this->password);

            $blnAuthenticated = ($strSalt == '') ? ($strPassword === sha1(\Input::postUnsafeRaw('password'))) : ($strPassword === sha1($strSalt . \Input::postUnsafeRaw('password')));



            // Store a SHA-512 encrpyted version of the password

            if ($blnAuthenticated)

            {

                $this->password = \Encryption::hash(\Input::postUnsafeRaw('password'));

            }

        }

Zitat von the_scrat

Probiers halt aus ;-)

genau. Habe hier aber noch nicht gemacht.

**the_scrat** · 20.08.2015, 15:45

Öhm, der Codeblock hat aber nichts mit deinem $objWidget zu tun. Außerdem wäre es von Contao äußerst dumm das Passwort erst im Plaintext abzulegen um es später zu verschlüsseln.
Zudem wird auch nirgends das Passwort ausgelesen, sondern nur per POST abgefangen.

Wie gesagt, ich glaube nicht, dass das $objWidget reicht um damit das Passwort zu verschlüsseln, das müsste man probieren. Was ich aber mit sicherheit weiß, dass es mit \Encryption::hash() geht,da ich das selbst schon verwendet habe.

**fiedsch** · 20.08.2015, 17:41

Mit Deiner Anmerkung hast Du natürlich recht. Meine Annahme war falsch und damit konnte der Schluss nicht richtig sein :-(

Die Verschlüsselung geschieht im Widget (core/widgets/Password.php) in validate() über den validator() der return \Encryption::hash($varInput); macht

Und in ModulePassword steht u.A. $objWidget->validate(); und danach $objMember->password = $objWidget->value;