шифрование пароля joomla
мне нужно получить доступ к таблице пользователей joomla jos_users
для проверки входа из внешнего скрипта php [codeignitor].
Joomla хранения пароля, как это
4e9e4bcc5752d6f939aedb42408fd3aa:0vURRbyY8Ea0tlvnTFn7xcKpjTFyn0YT
похоже, что это не обычный MD5, поэтому я не могу использовать md5(password)
.
каков возможный способ создания пароля ?
спасибо.
9 ответов
пароли Joomla MD5 хэшируются, но пароли солятся перед хэшированием.
Они хранятся в базе данных как {hash}:{salt}
эта соль представляет собой случайную строку длиной 32 символа.
Итак, чтобы создать новый хэш пароля вы могли бы сделать md5($password.$salt)
редактировать
хорошо, поэтому для проверки пароля, скажем, пользователь myguy
вводит пароль mypassword
, вы получите строку из базы данных, которая имеет имя пользователя myguy
.
в этой строке вы найдете пароль say 4e9e4bcc5752d6f939aedb42408fd3aa:0vURRbyY8Ea0tlvnTFn7xcKpjTFyn0YT
.
Вы разделяете хэш пароля и соль:
$hashparts = preg_split (':' , $dbpassword);
echo $hashparts[0]; //this is the hash 4e9e4bcc5752d6f939aedb42408fd3aa
echo $hashparts[1]; //this is the salt 0vURRbyY8Ea0tlvnTFn7xcKpjTFyn0YT
теперь вычислить хэш, используя эту соль и пароль myguy
вход
$userhash = md5($userpassword.$hashparts[1]); // This would be 'mypassword' and the salt used in the original hash
теперь, если это $userhash
и $hashparts[0]
идентичны пользователь ввел правильный пароль.
от форума joomla, вот что происходит позади:
A. Generate a password
B. Generate a string with 32 random characters
C. Concatenate Password (Step A) and RandomString (Step B)
D. Take md5(Result of Step C)
E. store Step D Result : Step B Result
пример:
Generate a password - Let 'testing'
Generate a string of 32 random characters - 'aNs1L5PajsIscupUskaNdPenustelsPe'
Concatenate Password and random string - testingaNs1L5PajsIscupUskaNdPenustelsPe
md5(Step C Result) - 5cf56p85sf15lpyf30c3fd19819p58ly
store step d:step B - 5cf56p85sf15lpyf30c3fd19819p58ly:aNs1L5PajsIscupUskaNdPenustelsPe
вы можете найти код в Joomla, как
$salt = JUserHelper::genRandomPassword(32);
$crypt = JUserHelper::getCryptedPassword("testing", $salt);
$password = $crypt . ':' . $salt;
или
password DB field = md5(password + salt) + ":" + salt
где соль-случайная строка из 32 символов.
спасибо
в стандарте joomla вы можете создать пароль, используя следующий способ
jimport('joomla.user.helper');
$salt = JUserHelper::genRandomPassword(32);
$crypt = JUserHelper::getCryptedPassword($password_choose, $salt);
$password = $crypt.':'.$salt;
вы упоминаете, что вы получаете доступ из внешнего файла(или программ), то если у вас есть установка joomla на другой стороне, вы можете получить доступ к нему извне структуры joomla.
С помощью Joomla кадров по умолчанию это
define( '_JEXEC', 1 );
define('JPATH_BASE', dirname(__FILE__) );//this is when we are in the root
define( 'DS', DIRECTORY_SEPARATOR );
require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );
$mainframe =& JFactory::getApplication('site');
$mainframe->initialise();
Я не могу использовать preg_split
но explode
работает хорошо.
$hashparts = explode (':' , $dbpassword);
из библиотек исходных файлов joomla / joomla / crypt/password / simple.php существует несколько способов их хранения, и некоторые из них не имеют символа":".
switch ($type)
{
case 'a$':
case JCryptPassword::BLOWFISH:
if (JCrypt::hasStrongPasswordSupport())
{
$type = 'y$';
}
else
{
$type = 'a$';
}
$salt = $type . str_pad($this->cost, 2, '0', STR_PAD_LEFT) . '$' . $this->getSalt(22);
return crypt($password, $salt);
case JCryptPassword::MD5:
$salt = $this->getSalt(12);
$salt = '$' . $salt;
return crypt($password, $salt);
case JCryptPassword::JOOMLA:
$salt = $this->getSalt(32);
return md5($password . $salt) . ':' . $salt;
}
}
Joomla! использует PhPass.
root/libraries/phpass/PasswordHash.php
посмотреть здесь. вы увидите здесь, как генерируется пароль.
на $2y по умолчанию (и предпочтительным) префикс bcrypt хэши.
Что касается кода, Вы захотите заглянуть внутрь JUserHelper's
hashPassword
и verifyPassword
методы, чтобы увидеть, как Joomla работает с вещами прямо сейчас.
Некоторые Ссылки -
https://github.com/joomla/joomla-cms/blob/3.4.1/libraries/joomla/user/helper.php#L296-L387
https://docs.joomla.org/API15:JUserHelper/getCryptedPassword
https://docs.joomla.org/API15:JUserHelper/getSalt
Проверьте ссылки, я надеюсь, вам это будет полезно:)
Joomla "понимает" пароли с "нормальным" md5.
то, что я сделал в прошлом (чтобы проверить логин пользователя), было сохранить исходный пароль, зашифровать новый в md5, заменить его в базе данных, протестировать его с помощью браузера (и он работает), и когда я закончил, вставьте исходный пароль в базу данных.
Если вы просто используете md5 ($password); он будет работать, попробуйте. У Joomla есть механизм, и он может работать с несколькими типами паролей (включая, в последнее время, надежные пароли). Вам не нужно беспокоиться о части после толстой кишки. Просто используйте md5 ($password), и это определенно сработает.
кстати, это также будет работать на Joomla 3.x.
<?php
$r = bin2hex(mcrypt_create_iv(16, MCRYPT_DEV_URANDOM));
$p = 'the_password';
$s = $p . $r;
$m = md5($s);
$out = $m . ':' . $r;
echo $out;
Len 16, потому что bin2hex удваивает размер символа, так как 1 байт становится 2 байта