Php HybridAuth身份验证cookie
我曾尝试在我现有的web应用程序中实现HybridAuth,该应用程序使用经典的电子邮件+密码注册和登录,但我仍然不明白如何使用HybridAuth对用户进行身份验证 我现有的身份验证系统 在我现有的登录系统中,想要登录的注册用户向服务器发送电子邮件和密码。如果电子邮件和密码正确(我不以明文形式存储用户密码,但密码验证过程与此问题无关),服务器将创建用户加密密码和随机密钥的散列。该散列存储在cookie中,还用于创建身份验证代码,其中包含之前创建的散列,用户的电子邮件和IP地址都散列在一起。身份验证代码存储在用户的会话中 当登录的用户尝试访问站点时,服务器从其cookie中获取哈希值,将其与电子邮件和IP地址进行哈希,并将其与先前存储在会话中的身份验证代码进行比较。如果代码匹配,则对用户进行身份验证,否则,用户将重定向到登录页面 新的HybridAuth系统 到目前为止,我只实现了通过Facebook登录。当新用户单击“通过Facebook登录”按钮时,服务器会执行多个脚本,将用户重定向到Facebook,以便他可以授权我的应用程序,并在数据库中创建一个新的用户记录,其中包含用户Facebook个人资料中的一些信息。此时,用户已注册并登录 当这个用户试图与我的应用程序交互时,我必须以某种方式验证他的身份。我使用以下代码:Php HybridAuth身份验证cookie,php,authentication,hybridauth,Php,Authentication,Hybridauth,我曾尝试在我现有的web应用程序中实现HybridAuth,该应用程序使用经典的电子邮件+密码注册和登录,但我仍然不明白如何使用HybridAuth对用户进行身份验证 我现有的身份验证系统 在我现有的登录系统中,想要登录的注册用户向服务器发送电子邮件和密码。如果电子邮件和密码正确(我不以明文形式存储用户密码,但密码验证过程与此问题无关),服务器将创建用户加密密码和随机密钥的散列。该散列存储在cookie中,还用于创建身份验证代码,其中包含之前创建的散列,用户的电子邮件和IP地址都散列在一起。身份
if ($_SESSION['facebook_connected'] == true) {
try {
// try social login
$config = PUBLIC_ROOT . 'handlers/hybridauth/config.php';
require_once(PUBLIC_ROOT . 'handlers/hybridauth/Hybrid/Auth.php');
$hybridauth = new Hybrid_Auth($config);
$adapter = $hybridauth->authenticate('Facebook');
/* check if the user is registered
*
* ...
*
*/
return true;
} catch (Exception $e) {
return false;
}
}
当此代码返回true时,将对用户进行身份验证
每次我使用社交身份验证向我的应用程序发送请求时,web浏览器都必须等待约1-2秒才能接收请求的网页/数据。当我使用电子邮件+密码身份验证时,网页几乎立即被服务器访问
这让我觉得HybridAuth每次想要验证用户身份时都必须与Facebook服务器通信,这非常慢
我的问题是:HybridAuth能否为通过Facebook登录的用户创建某种身份验证cookie,并在每次发送请求时安全地对其进行身份验证,而无需与Facebook通信
很抱歉问了这么长的问题,我想解释一下我的整个身份验证系统,因为它的整个想法可能是错误的/不安全的/过时的,我必须做一些更改,以便与HybridAuth一起有效地使用它
旁注:HybridAuth文档非常糟糕。您可以使用HybridAuth登录用户,将信息存储在应用程序中,并使用该信息编写您自己的认证系统
使用此方法,HibridAuth只需在登录时与facebook通信,然后您就可以使用自己的系统验证用户身份,避免无用的facebook连接将此列添加到mysql用户表中
CREATE TABLE `users` (
`id` INT(11) NOT NULL AUTO_INCREMENT,
`password` VARCHAR(250) NOT NULL,
`name` VARCHAR(60) NOT NULL,
`email` VARCHAR(250) NULL DEFAULT NULL,
`mobile` VARCHAR(50) NULL DEFAULT NULL,
`active` TINYINT(4) NOT NULL DEFAULT '0',
`gender` VARCHAR(50) NOT NULL DEFAULT '0',
`img` TEXT NULL,
`date_joined` DATE NOT NULL,
`facebook` INT(11) NOT NULL DEFAULT '0',
`fidentifier` VARCHAR(500) NULL DEFAULT NULL,
`fprofileURL` VARCHAR(500) NULL DEFAULT NULL,
`fphotoURL` VARCHAR(500) NULL DEFAULT NULL,
`fdisplayName` VARCHAR(500) NULL DEFAULT NULL,
`ffirstName` VARCHAR(500) NULL DEFAULT NULL,
`flastName` VARCHAR(500) NULL DEFAULT NULL,
`fgender` VARCHAR(50) NULL DEFAULT NULL,
`flanguage` VARCHAR(50) NULL DEFAULT NULL,
`femailVerified` VARCHAR(500) NULL DEFAULT NULL,
`fcoverInfoURL` VARCHAR(800) NULL DEFAULT NULL,
PRIMARY KEY (`id`)
)
COLLATE='utf8_general_ci'
ENGINE=InnoDB
;
然后创建php文件facebook.php
<?php
include 'sql.php';
function generateRandomString($length = 10) {
$characters = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ123456789';
$charactersLength = strlen($characters);
$randomString = '';
for ($i = 0; $i < $length; $i++) {
$randomString .= $characters[rand(0, $charactersLength - 1)];
}
return $randomString;
}
$config = array(
"base_url" => "https://yourdomain.com/handlers/hybridauth/",
"providers" => array (
"Facebook" => array (
"enabled" => true,
"keys" => array ( "id" => "YOUR_ID", "secret" => "YOUR_SECRET" ),
"scope" => "email,public_profile",
"display" => "page"
)));
require_once( "handlers/hybridauth/Hybrid/Auth.php" );
try{
$hybridauth = new Hybrid_Auth( $config );
$adapter = $hybridauth->authenticate( "Facebook" );
$user_profile = $adapter->getUserProfile();
}
catch( Exception $e ){
$user_profile = "denied" ;
}
if ( $user_profile == "denied"){
?>
<script>
window.parent.location.href=("login.php?error=1");
</script>
<?php
}
else
{
$fidentifier= $user_profile->identifier;
$fprofileURL= $user_profile->profileURL;
$fphotoURL= $user_profile->photoURL;
$fdisplayName= $user_profile->displayName;
$ffirstName= $user_profile->firstName;
$flastName= $user_profile->lastName;
$fgender= $user_profile->gender;
$flanguage= $user_profile->language;
$femailVerified= $user_profile->emailVerified;
$fcoverInfoURL= $user_profile->coverInfoURL;
$femail= $user_profile->email;
$fphone= $user_profile->phone;
$sqlc = "SELECT * FROM users WHERE fidentifier='$fidentifier' AND facebook=1";
$rs_result = $conn->query($sqlc);
if ($rs_result->num_rows == 1){
$row = $rs_result->fetch_assoc();
$_SESSION["user_id"] = $row["id"];
?>
<script>
window.parent.location.href=("profile.php");
</script>
<?php
}
else
{
$sqlc1 = "SELECT * FROM users WHERE (email='$femailVerified' OR email='$femail') AND facebook=0";
$rs_result1 = $conn->query($sqlc1);
if ($rs_result1->num_rows ==1){
$row1 = $rs_result1->fetch_assoc();
$ssid=$row1["id"];
$sql4 = "UPDATE users SET
fidentifier='$fidentifier',
fprofileURL='$fprofileURL',
fdisplayName='$fdisplayName',
name='$fdisplayName',
ffirstName='$ffirstName',
flastName='$flastName',
fgender='$fgender',
gender='$fgender',
email='$femail',
femailVerified='$femailVerified',
mobile='$fphone',
fcoverInfoURL='$fcoverInfoURL',
img='$fphotoURL',
active=1,
facebook=1
WHERE id=$ssid";
if ($conn->query($sql4) === TRUE) {
$_SESSION["user_id"] = $row1["id"];
?>
<script>
window.parent.location.href=("profile.php");
</script>
<?php
} else {
echo "Error: " . $sql4 . "<br>" . $conn->error;
}
}
else
{
$password=generateRandomString();
$sqlee = "INSERT INTO users (fidentifier,fprofileURL,fdisplayName,name,ffirstName,flastName,fgender,gender,email,femailVerified,mobile,fcoverInfoURL,img,active,facebook,password,date_joined)
VALUES ('$fidentifier','$fprofileURL','$fdisplayName','$fdisplayName','$ffirstName','$flastName',
'$fgender','$fgender','$femail','$femailVerified','$fphone','$fcoverInfoURL','$fphotoURL',1,1,'$password',NOW())";
if ($conn->query($sqlee) === TRUE) {
$lastid = $conn->insert_id;
$_SESSION["user_id"] = $lastid;
?>
<script>
window.parent.location.href=("profile.php");
</script>
<?php
}
else {
echo "Error: " . $sql . "<br>" . $conn->error;
}
}
}
}
?>
window.parent.location.href=(“login.php?error=1”);
好的,所以您登录用户的策略是检查密码和电子邮件是否正确,然后将它们保持在会话中。使用社交登录,您应该检查电子邮件是否正确-如果正确:
检索用户记录(如果用户第一次登录,则可能需要在检索之前创建一个新用户)
与普通登录相同(将电子邮件和ip哈希放入会话中,并与前面的身份验证代码进行比较)
所有请求都应作为普通请求处理,并且仅在第一次身份验证时与社交提供商交互
<?php
if ($_SESSION["user_id"] != ""){$suserid=$_SESSION["user_id"];}else{$suserid="";}
?>
<?php
if ($suserid !=""){
//do this like a login user
}
if ($suserid ==""){
echo "login to site by facebook <a href='facebook.php' >from here</a>";
}
?>