Dancer2 Auth::Extensible 不接受散列密碼

Question

我已經使用 Dancer2::Plugin::Passphrase 和以下代碼生成了一個 SHA-1 哈希：

get '/generate' => {
    my $phrase = passphrase('my_password')->generate({ algorithm => 'SHA-1'});
    return $phrase->rfc2307();
};

結果如下所示：

{SSHA}+2Dro1/ntPchT93mgvYMKGjdzy+XKXK1agsG3//hKuLNrQAK

這就是我存儲在 PostgreSQL 數據庫中的內容。

我使用 Dancer2::Plugin::Auth::Extensible 作為我的登錄解決方案，但我還沒有讓它使用加密密碼。 我將一個測試帳戶放入我的數據庫中，其中 username='test' 和 password='test'，並且工作正常。 但是 username='test2' 和 password='{SSHA}+2Dro1/ntPchT93mgvYMKGjdzy+XKXK1agsG3//hKuLNrQAK' 不起作用。 登錄頁面只是默默地失敗並重新加載。

我打開了 DBI_TRACE，除了使用純文本密碼的帳戶返回以下內容外，兩者之間沒有太大區別：

[glm::App:3515] debug @2016-05-10 21:02:23> users accepted user test in /usr/local/share/perl/5.20.2/Dancer2/Core/Route.pm l. 137

並且具有加密密碼的帳戶返回以下內容：

[glm::App:3523] core @2016-05-10 21:04:21> looking for get /login in /usr/local/share/perl/5.20.2/Dancer2/Core/App.pm l. 1210
[glm::App:3523] core @2016-05-10 21:04:21> Entering hook core.app.before_request in (eval 62) l. 1
[glm::App:3523] core @2016-05-10 21:04:21> Entering hook core.app.after_request in (eval 62) l. 1
127.0.0.1 - - [10/May/2016:21:04:21 +0100] "POST /login?return_url=%2F     HTTP/1.1" 401 383 "http://localhost:5000/login?return_url=%2F" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0"

我確定我遺漏了一些東西，但CPAN 頁面沒有詳細說明如何處理加密密碼。 它只是說這會很容易。 我想我讀的是“加密的密碼將自動處理”。 我錯過了什么？

配置

這是我的配置的相關部分

plugins: 
 Auth::Extensible:
   realms:
      users:
       provider: 'Database'
 Database:
  dsn: 'dbi:Pg:service=test'

應用程序

下面是我在 App.pm 中所做的。 你可以看到我只是想要求登錄主頁。 也許我需要一些“/登錄”代碼？

package glm::App;

use Dancer2;
use Dancer2::Plugin::Database;
use Dancer2::Plugin::Auth::Extensible;
use Dancer2::Plugin::Passphrase;

use Template;

our $VERSION = '0.1';

get '/' => require_login sub {
    my $sth = database->prepare('SELECT name FROM product', { RaiseError => 1 });
    $sth->execute();

    template 'create_list', {
        'products' => $sth->fetchall_hashref('name'),
    };
};

get '/generate'=> sub {
    my $phrase = passphrase('my_password')->generate({ algorithm => 'SHA-1' });
    return $phrase->rfc2307(); # right now I just manually copy and paste this into the database
};

我的數據庫遵循用戶、密碼和角色的建議架構。

也許我能想到的唯一其他相關信息是，如果我使用 Digest 無法識別的加密方案，我會從 Digest.pm 收到錯誤消息。 這似乎表明它正在識別散列密碼並嘗試對其進行解密，但無論出於何種原因，它都無法正常工作。 或者它正在工作並重定向回主頁......但是為什么它不使用'test，test'來做到這一點？

Answer 1

TL;DR您使用兩種不同的散列方法，因此生成的散列不兼容。

Dancer2::Plugin::Auth::Extensible::Provider::Database使用 Crypt::SaltedHash：

sub encrypt_password {
    my ($self, $password, $algorithm) = @_;
    $algorithm ||= 'SHA-1';
    my $crypt = Crypt::SaltedHash->new(algorithm => $algorithm);
    $crypt->add($password);
    $crypt->generate;
}

這會生成一個散列，如：

{SSHA}qTEaPf8KRPt6XBQXIlQhlWstgBz64coW

將其與您從 Dancer2::Plugin::Passphrase 獲得的內容進行比較：

{SSHA}+2Dro1/ntPchT93mgvYMKGjdzy+XKXK1agsG3//hKuLNrQAK

請注意，長度是不同的。 Dancer2::Plugin::Passphrase 默認使用 16 字節的 salt，而 Crypt::SaltedHash 使用 4 字節的 salt。

---

盡管您可以告訴 Dancer2::Plugin::Passphrase 使用 4 字節的 salt，但在任何地方使用 Crypt::SaltedHash 會容易得多。 Dancer2::Plugin::Auth::Extensible 文檔解釋了如何執行此操作：

包含一個名為generate-crypted-password簡單腳本來生成 RFC2307 樣式的散列密碼，或者您可以自己使用 Crypt::SaltedHash 來執行此操作，或者使用slappasswd實用程序（如果已安裝）。

例如：

$ generate-crypted-password 
Enter plain-text password ?> foo
Result: {SSHA}zdXPS0QqxyKlzXwHxjJ3rsU19Td4ABzW