Dancer2認証::拡張が、私はDancer2を使用してSHA-1ハッシュを生成したハッシュされたパスワード

Question

を受け付けない::プラグイン::次のコードでパスフレーズ：

：

get '/generate' => { 
    my $phrase = passphrase('my_password')->generate({ algorithm => 'SHA-1'}); 
    return $phrase->rfc2307(); 
}; 

結果は次のようになります

{SSHA}+2Dro1/ntPchT93mgvYMKGjdzy+XKXK1agsG3//hKuLNrQAK 

これはPostgreSQLデータベースに保存されているものです。

私はDancer2 :: Plugin :: Auth :: Extensibleをログインソリューションとして使用していますが、まだ暗号化されたパスワードで動作するようにしています。私はusername = 'test'とpassword = 'test'の私のデータベースにテストアカウントを入れて、うまくいきます。しかし、username = 'test2'、パスワード= '{SSHA} + 2Dro1/ntPchT93mgvYMKGjdzy + XKXK1agsG3 // hKuLNrQAK'は機能しません。ログインページは、ただちに失敗してリロードされます。

私はDBI_TRACEオンにし、このプレーンテキストのパスワードが戻るとアカウントことを除いて、両者の間に大きな違いが見られていない：暗号化されたパスワードが戻ると

[glm::App:3515] debug @2016-05-10 21:02:23> users accepted user test in /usr/local/share/perl/5.20.2/Dancer2/Core/Route.pm l. 137 

とアカウントこの：

[glm::App:3523] core @2016-05-10 21:04:21> looking for get /login in /usr/local/share/perl/5.20.2/Dancer2/Core/App.pm l. 1210 
[glm::App:3523] core @2016-05-10 21:04:21> Entering hook core.app.before_request in (eval 62) l. 1 
[glm::App:3523] core @2016-05-10 21:04:21> Entering hook core.app.after_request in (eval 62) l. 1 
127.0.0.1 - - [10/May/2016:21:04:21 +0100] "POST /login?return_url=%2F  HTTP/1.1" 401 383 "http://localhost:5000/login?return_url=%2F" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0" 

私は何か不足していると確信していますが、the CPAN pageには暗号化されたパスワードの処理方法の詳細は記載されていません。それは簡単だと言っているだけです。暗号化されたパスワードは自動的に処理されるので、私はそれを読んでいると思います。私は何が欠けていますか？

はコンフィグ

これは

plugins: 
Auth::Extensible: 
    realms: 
     users: 
     provider: 'Database' 
Database: 
    dsn: 'dbi:Pg:service=test' 

App.pm以下

私の設定の関連部分ですが、私はApp.pm.でやっているものです私はホームページのログインを要求しようとしているだけです。たぶん私はいくつかの '/ login'コードが必要でしょうか？

package glm::App; 

use Dancer2; 
use Dancer2::Plugin::Database; 
use Dancer2::Plugin::Auth::Extensible; 
use Dancer2::Plugin::Passphrase; 

use Template; 

our $VERSION = '0.1'; 

get '/' => require_login sub { 
    my $sth = database->prepare('SELECT name FROM product', { RaiseError => 1 }); 
    $sth->execute(); 

    template 'create_list', { 
     'products' => $sth->fetchall_hashref('name'), 
    }; 
}; 

get '/generate'=> sub { 
    my $phrase = passphrase('my_password')->generate({ algorithm => 'SHA-1' }); 
    return $phrase->rfc2307(); # right now I just manually copy and paste this into the database 
}; 

私のデータベースは、ユーザー、パスワード、およびロールのためにsuggested schemaの後に続きます。

私が考えることができる唯一の他の関連するビットは、私がDigestによって認識されない暗号化方式を使用すると、Digest.pmからエラーが発生することです。これは、ハッシュされたパスワードを認識して解読しようとしていることを示しているようですが、何らかの理由でそれが機能していないだけです。それとも、働いてホームページにリダイレクトしています...しかし、それはなぜ「テスト、テスト」でそれをしませんか？

Answer 1

TL; DRあなたはハッシングに2つの異なる方法を使用しているため、生成されたハッシュは互換性がありません。

Dancer2::Plugin::Auth::Extensible::Provider::Databaseは、墓所を使用しています:: SaltedHashを：

{SSHA}qTEaPf8KRPt6XBQXIlQhlWstgBz64coW 

あなたはDancer2から得たものにすることを比較::プラグイン::パスフレーズを：：

{SSHA}+2Dro1/ntPchT93mgvYMKGjdzy+XKXK1agsG3//hKuLNrQAK 

sub encrypt_password { 
    my ($self, $password, $algorithm) = @_; 
    $algorithm ||= 'SHA-1'; 
    my $crypt = Crypt::SaltedHash->new(algorithm => $algorithm); 
    $crypt->add($password); 
    $crypt->generate; 
} 

これは、のようなハッシュを生成し、

長さが異なることに注意してください。 Dancer2 :: Plugin :: Passphraseはデフォルトで16バイトのsaltを使用し、Crypt :: SaltedHashは4バイトのsaltを使用します。あなたは Dancer2 :: 4バイトの塩を使用するプラグイン::パスフレーズを言うことができるが、

---

は、それだけでどこでも墓所:: SaltedHashを使用する方がはるかに簡単です。 Dancer2 ::プラグイン::認証::拡張がdocumentationこれを実行する方法について説明します。

RFC2307スタイルのハッシュ化されたパスワードを生成するgenerate-crypted-passwordと呼ばれる簡単なスクリプトが含まれている、またはあなたがするクリプト:: SaltedHash自分自身を使用することができますそうすれば、slappasswdユーティリティをインストールしている場合はそれを使用してください。例えば

：

$ generate-crypted-password 
Enter plain-text password ?> foo 
Result: {SSHA}zdXPS0QqxyKlzXwHxjJ3rsU19Td4ABzW