PerlのDancer2認証パスワード管理

Question

だから、perlのダンサーを使用していたいずれかがログイン時にユーザーを認証することを知っているあなたは

authenticate_userを呼び出すことができます

authenticate_user(
    params->{username}, params->{password} 
); 

これは認証::拡張プラグインの一部です。

私には、パスワードをプレーンテキストで保存することを奨励しているようです。確かにパスワードを最初にハッシュすることができますし、保存されたパスワードが同じハッシュであることを確認してください。しかし、これはもっとうまくいくと思われます。私は使用すべきではないsha1を使用してこれを動作させるだけです。私はBcryptを使用したいが、パスフレーズは単純に一致しない。おそらく奇妙な文字は私には分からない。

事は、私はすでにも、それらを検証するためにauthenticate_userに依存することなく、ユーザ名とパスワードを検証することができダンサーパスフレーズのプラグインを使用しています。しかし、ダンサーのフレームワークでは、あなたがまだパスワードを渡す必要がありますauthenticate_userを呼び出す必要がログインユーザーを考慮する。

私は完全に固執しています。どのように他の人がdancer2で適切なパスワード管理を使用しているのか不思議です。 Dancer2::Plugin::Auth::Extensibleのドキュメントで

Answer 1

、authenticate_user()のための説明が書かれています：

通常あなたが認証するユーザーとコードの契約を扱う組み込みのログインをさせたいと思うでしょうが、場合には、あなたがそれを自分で行う必要がありますこのキーワードはユーザー名とパスワードを受け入れます...

これは、あなたが特に巧妙なことをしない限り、この機能を全く呼び出すべきではないことを強く意味します。

私はこのモジュールを自分で使用していませんが、ハッシュと暗号化のすべてはauthentication providersのいずれかで処理する必要があります。使用しているケースをカバーしていない場合はwrite one yourselfです。

ダンサーアプリに安全なパスワードを保存する必要がある場合はいつでも、Dancer2::Plugin::Passphraseに届きます。 Auth :: Extensibleスタイルの認証プロバイダを作成することを検討する必要があるのだろうかと思います。

Answer 2

まず、「あなたはほとんど確実にauthenticate_user()を使用する必要はありません」とコメントします。プラグインはすべてあなたのためにそれを処理することができます。

ただし、「ハッシュしない」というのは間違っています。ここでそれはどのように動作するのですか？ authenticate_userキーワードはすべての認証領域をループし、それぞれ の場合、そのプロバイダのauthenticate_user()メソッドに、ユーザ名とパスワード を受け入れるかどうかを確認するように要求します。プロバイダDatabaseは、 レコードをDBから取り出し、$self->match_password()（ Provider roleからのもの）を使用して検証します。そのコードチェック から記憶されたパスワードがデータベース{scheme}で始まり、そうであれば、（それだけでワイヤ上に来ていたよう プレーンテキストで、）そのユーザが入力したパスワードを検証する Crypt::SaltedHash->validateを使用する場合、格納されたと一致する、 をハッシュデータベース内に保存されたパスワードがハッシュされた場合に入力したパスワードはハッシュと一致する場合

if ($correct =~ /^{.+}/) { 

    # Looks like a crypted password starting with the scheme, so try to 
    # validate it with Crypt::SaltedHash: 
    return Crypt::SaltedHash->validate($correct, $given); 
} 

ので、はい、それはそれは 一致します。passsword（コード内の$correctは、以下の保存されたパスワードです）。保存されたハッシュされたパスワードがどのように見えるかの例

は、ここに同梱generate-crypted-passwordユーティリティの 出力です：

[davidp@supernova:~]$ generate-crypted-password 
Enter plain-text password ?> hunter2 
Result: {SSHA}z9llSLkkAXENw8FerEchzRxABeuJ6OPs 

はalgorhythmsが、それによって をサポートされているかの詳細についてはCrypt::SaltedHash docoを参照してください、と（RFC-3112と が異なるデジタルアルゴリズムを使用することによって拡張されています）。

authenticate_userのコードはまさに のフードの下にあるコードであることに注意してください。ただプラグインをさせる例について

があなたのために仕事をし、考えてみます。

get '/secret' => require_login sub { 
    my $user = logged_in_user(); 
    return "Hi, $user->{username}, let me tell you a secret"; 
}; 

...それはそれです。 require_loginは、プラグインがユーザーがログインしている場合は をチェックし、そうでない場合は、ログインページ にリダイレクトしてログインすることを意味します。authenticate_userに電話する必要はありません。 は設定する必要はありませんセッション変数など。 logged_in_user() は、ログインしたユーザーに関する情報のハッシュリファレンスを返します（ ルートコードにrequire_loginがあるため、この ポイントに1があることが保証されているため、確認する必要はありません）。

の代わりに適切な役割があることを確認する必要がある場合は、代わりにrequire_roleを参照してください。