Ich verwende CakePHP 1.2 mit Auth und ACL-Komponenten.Warum verschlüsselt die CakePHP-Authentifizierungskomponente nicht mein Passwort?
In meiner Benutzerregistrierungsaktion kommt das Kennwort unverhastet an. Insbesondere dieser Ausdruck:
if ($this->data['User']['password'] !=
$this->Auth->password($this->data['User']['confirm_password']))
Dies true evaluiert, auch wenn ich die gleichen Werte für password
und confirm_password
einreichen. Ich weiß, dass das Passwort unverschlüsselt ist, denn wenn ich den Anruf auf Auth->password
lösche, wird der Ausdruck als false ausgewertet.
Ich erwartete, dass das Auth-Modul automatisch das Passwort hasht. Was mache ich falsch?
Hier ist meine Ansicht:
<?php
echo $form->create('User', array('action' => 'register'));
echo $form->input('email',
array('after' => $form->error(
'email_unique', 'This email is already registered.')));
echo $form->input('password');
echo $form->input('confirm_password', array('type' => 'password'));
echo $form->end('Register');
?>
Hier meine Register Aktion des Benutzers Controller ist:
function register(){
if ($this->data) {
if ($this->data['User']['password'] !=
$this->Auth->password($this->data['User']['confirm_password'])) {
$this->Session->setFlash(__('Password and Confirm Password must match.', true));
$this->data['User']['password'] = '';
$this->data['User']['confirm_password'] = '';
}
else{
$this->User->create();
if ($this->User->save($this->data)){
$this->redirect(array('action' => 'index'), null, true);
}
else {
$this->data['User']['password'] = '';
$this->data['User']['confirm_password'] = '';
$this->Session->setFlash(__('Some problem saving your information.', true));
}
}
}
}
Und hier ist mein appController
, wo ich die Auth
und Acl
Module umfassen:
class AppController extends Controller {
var $components = array('Acl', 'Auth');
function beforeFilter(){
if (isset($this->Auth)) {
$this->Auth->allow('display');
$this->Auth->fields =
array(
'username' => 'email',
'password' => 'password');
$this->Auth->authorize = 'actions';
}
}
}
Was mache ich falsch?
Diese awesome klingt, aber ich bin verwirrt auf eine Sache - Wenn wir angeben, dass das Passwort bei der Registrierung nicht durchsucht werden soll - wie funktioniert das Passwort? Oder ... wann werden wir es hacken? – Dave