Создание сайта с авторизацией через phpBB

[t4p2]

Можно ли перенести форум из папки в корень? - это для портала, но для расширения pages или кастомной страницы принцип тот же

Оооочень извиняюсь... Я просто изначально неверно вопрос задала. Только сейчас дошло.
Попробую все заново:
Необходимо сделать авторизацию на сайт, использую базу данных форума phpbb3.
т.е. сам форум находится на одном домене, а страничка на другом. Есть ли варианты, как это сделать?
Нужна только авторизация.

[t4p2]

не могу найти пример, как кодируется пароль.
Подскажите пожалуйста.

[nissin]

t4p2, пароль кодируется в зависимости от доступных алгоритмов на текущей системе.

Код: Выделить всё

    # List of default password driver types
    passwords.algorithms:
        - passwords.driver.bcrypt_2y
        - passwords.driver.bcrypt
        - passwords.driver.salted_md5
        - passwords.driver.phpass

Подробней смотрите код в папке phpbb/passwords

Вот пример:

Код: Выделить всё

$passwords_manager = $phpbb_container->get('passwords.manager');
$hash = $passwords_manager->hash($data['new_password'])

[t4p2]

$passwords_manager = $phpbb_container->get('passwords.manager');
$hash = $passwords_manager->hash($data['new_password'])

У меня этот код в functions.php:

Код: Выделить всё

$passwords_manager = $phpbb_container->get('passwords.manager');

		if ($passwords_manager->check($password, $forum_data['forum_password']))
		{
			$sql_ary = array(
				'forum_id'		=> (int) $forum_data['forum_id'],
				'user_id'		=> (int) $user->data['user_id'],
				'session_id'	=> (string) $user->session_id,
			);

			$db->sql_query('INSERT INTO ' . FORUMS_ACCESS_TABLE . ' ' . $db->sql_build_array('INSERT', $sql_ary));

			return true;
		}

		$template->assign_var('LOGIN_ERROR', $user->lang['WRONG_PASSWORD']);

А passwords.algorithms: вообще найти не могу. У меня Форум версии 3.2.3...

Кто нашел систему кодирования, подскажите пожалуйста

[t4p2]

Что-то не выходит у меня с кодировкой. Видимо это тема новая еще...
Метод кодировки так и не подобрала.
Экспериментирую с этим паролем: Aak58Q
Надо что-бы получился вот такой: $2y$10$CSZopDoyG6V1Y0stw/vt/uKv4KmhCHzCsUCizowtx8ZCTTtHiboDy
Может кто знает уже метод?

[nissin]

Может кто знает уже метод?

Blowfish-шифрование со следующей солью "$2y$".

Код: Выделить всё

$hash = crypt($password, $salt);

[t4p2]

Blowfish-шифрование со следующей солью "$2y$"

Получается тогда вот что:

Код: Выделить всё

$password = 'Aak58Q';
	$salt = '$2y$';
	$hash = crypt($password, $salt);
	echo $hash;

Выводит просто 2 символа: *0

Я попробовала вот так:

$password = 'Aak58Q';
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
echo $hashToStoreInDb.'<br>';

Тогда выводит очень похожий по структуре хеш, который как и должно, состоит из 60 символов: $2y$10$FVmmsY9ex.bJWkw3T.t1d.0HpaWM1dDsWoabp.Alvq7DaaIIxqh8e

И при каждом обновлении странички, сгенерированный код меняется немного.
Я полагаю что salt тут как-то надо использовать, и я еще обратила внимание, что у каждого пользователя свой уникальный salt.
Вот для пароля Aak58Q salt должен быть d83f3a6077fa311c

[nissin]

CRYPT_BLOWFISH - Blowfish-шифрование со следующей солью: "$2a$", "$2x$" или "$2y$", весовой параметр из двух цифр, "$" и 22 цифры из алфавита "./0-9A-Za-z". Использование других символов в соли повлечет за собой возрат пустой строки. Весовой параметр из двух цифр является двоичным логарифмом счетчика итераций низлежащего хеширующего алгоритма, основанного на Blowfish, и должен быть в диапазоне 04-31, значения вне данного диапазона вызовут отказ crypt(). Версии PHP до 5.3.7 поддерживали только префикс "$2a$" для соли: PHP 5.3.7 добавил новые префиксы для исправления уязвимостей в реализации Blowfish. Для полного понимания ознакомьтесь с » этим разделом, но если кратко, то разработчики должны использовать "$2y$" вместо "$2a$" начиная с PHP 5.3.7.

В качестве соли используем первые 29 (4+2+1+22) символов уже имеющегося хэша.

Код: Выделить всё

$password = 'Aak58Q';
$salt = '$2y$10$CSZopDoyG6V1Y0stw/vt/u';
$hash = crypt($password, $salt);
echo $hash;

Выводит:

Код: Выделить всё

$2y$10$CSZopDoyG6V1Y0stw/vt/uKv4KmhCHzCsUCizowtx8ZCTTtHiboDy

Без соли пароль проверить не получится.

Всё это естественно работает только для новых паролей на системах с поддержкой "$2y$", старые пароли проверяются по другим алгоритмам.

[t4p2]

Всё это естественно работает только для новых паролей на системах с поддержкой "$2y$", старые пароли проверяются по другим алгоритмам.

Интересненько... сейчас поразбираюсь... спасибо.

[t4p2]

Без соли пароль проверить не получится.

Забавно... В базе данных у одного пользователя пароль имеет вот такой вид: $2y$10$d3JNbbbOspChiCKmsWN1hORRnx4YSJCKDz.RWw920XhkCB65tOQXG
Из-за чего может создаться вот такой вид?
Как определить, чем он захеширован и где у него соль?
рано радовалась... оказалось не так все быстро...

[nissin]

t4p2, тот же самый алгоритм.
начало пароля "$2y$" - Blowfish-шифрование "$2y$", далее "10$" - весовой параметр, далее 22 символа часть соли.
Итого соль в этом хэше: $2y$10$d3JNbbbOspChiCKmsWN1hO

[Payalnik610]

Итого соль в этом хэше: $2y$10$d3JNbbbOspChiCKmsWN1hO

а как соль генерируется?

Код: Выделить всё

public function get_random_salt($length, $rand_seed = '/dev/urandom')
	{
		$random = '';

		if (($fh = @fopen($rand_seed, 'rb')))
		{
			$random = fread($fh, $length);
			fclose($fh);
		}

		if (strlen($random) < $length)
		{
			$random = '';
			$random_state = $this->unique_id();

			for ($i = 0; $i < $length; $i += 16)
			{
				$random_state = md5($this->unique_id() . $random_state);
				$random .= pack('H*', md5($random_state));
			}
			$random = substr($random, 0, $length);
		}
		return $random;
	}

Оно?

[nissin]

Payalnik610, судя по названию оно.