Ja! Ich konnte ein Skript erstellen, das alle Discourse-Benutzer durchläuft und sie mit ihrem Passphrase-Hash auf unserer Plattform importiert.
Bald können wir jedem, der ein Discourse-Forum hat, auch Events, Videokonferenzen, Medien und mehr anbieten, wobei Discourse im Tab „Diskutieren“ angesiedelt ist. Das Ergebnis sehen Sie unter https://intercoin.app
Im Grunde verwandelt dies jede Discourse-Installation in ein modernes soziales Netzwerk à la Facebook. Wir haben jahrelang an diesen Funktionen gearbeitet und möchten sie nun eng in Discourse und WordPress integrieren. So können Leute WordPress, Discourse und Qbix kombinieren und ihre gesamte Community selbst hosten.
Aber es bleiben zwei Probleme.
- In Qbix hashen wir das Passwort auf dem Client, zumindest mit sha1(password + userId), bevor wir es an den Server senden. Selbst wenn es https ist. Wir tun dies, damit der Server oder ein MITM das Passwort NIEMALS hat, um es seitenübergreifend wiederzuverwenden. Aber Discourse sendet das Passwort einfach an den Server. Daher mussten wir dieses Hashing auf der Clientseite deaktivieren. Ist es möglich, einige Iterationen von hash_pbkdf2 auf der Clientseite und den Rest auf der Serverseite durchzuführen? Ich habe es versucht und es scheint nicht zu passen:
php > $password = 'abc';
php > $salt = 'def';
php > $a = hash_pbkdf2('sha256', $password, $salt, 64000, 64, false);
php > $b = hash_pbkdf2('sha256', $password, $salt, 1, 64, false);
php > $c = hash_pbkdf2('sha256', $password, $b, 63999, 64, false);
php > echo $a;
9d7a21ae4113bea06d81e0c486f45ab778bb739f19f7a6a305d8401918a9d8a1
php > echo $c;
f42af6861ebcf8560b027276e0d02ad46502636045486057d81be7c4c4aa630e
- Wäre es möglich, Discourse einfach als SSO-Provider zu verwenden, anstatt unsere Website als SSO-Provider zu verwenden? Dann würden die Hoster von Discourse-Foren es mit größerer Wahrscheinlichkeit mit Qbix-Funktionen erweitern, da die Anmeldung genau gleich bleiben würde und auf der Seite von Discourse. Facebook, Google und was auch immer sonst. Gibt es Dokumentationen darüber, welche Informationen Discourse Connect als SSO-Provider an unsere Consumer-Website zurückgibt? Enthält es Dinge wie das Foto, das wir herunterladen können, Vorname, Nachname und zumindest den Benutzernamen?