¡Sí! Pude crear un script que recorre todos los usuarios de Discourse y los importa con el hash de su frase de contraseña a nuestra plataforma.
Pronto, podremos permitir que cualquiera que tenga un foro de Discourse agregue también Eventos, Videoconferencias, Medios y más, con Discourse residiendo en la pestaña “Discutir”. Puedes ver el resultado en https://intercoin.app
Básicamente, convertimos cualquier instalación de Discourse en una red social moderna al estilo de Facebook. Hemos trabajado durante años en estas funciones y ahora queremos integrarlas estrechamente con Discourse y WordPress también. Así, las personas pueden combinar WordPress, Discourse y Qbix y autoalojar toda su comunidad.
Pero tengo dos problemas pendientes.
- En Qbix, ciframos la contraseña en el cliente al menos con sha1(contraseña + userId) antes de enviarla al servidor. Incluso cuando es https. Lo hacemos para que el servidor o cualquier MITM NUNCA tenga la contraseña, para reutilizarla en varios sitios. Pero, Discourse simplemente envía la contraseña al servidor. Por lo tanto, tuvimos que desactivar este cifrado en el lado del cliente. ¿Es posible realizar algunas iteraciones de hash_pbkdf2 en el lado del cliente y el resto en el lado del servidor? Lo intenté y no parece coincidir:
php > $password = 'abc';
php > $salt = 'def';
php > $a = hash_pbkdf2('sha256', $password, $salt, 64000, 64, false);
php > $b = hash_pbkdf2('sha256', $password, $salt, 1, 64, false);
php > $c = hash_pbkdf2('sha256', $password, $b, 63999, 64, false);
php > echo $a;
9d7a21ae4113bea06d81e0c486f45ab778bb739f19f7a6a305d8401918a9d8a1
php > echo $c;
f42af6861ebcf8560b027276e0d02ad46502636045486057d81be7c4c4aa630e
- ¿Sería posible simplemente usar Discourse como un Proveedor de SSO, en lugar de usar nuestro sitio como proveedor de SSO? Entonces, los hosts de los foros de Discourse tendrían aún más probabilidades de expandirlo con las funciones de Qbix, ya que el inicio de sesión seguiría siendo exactamente el mismo, y del lado de Discourse. Facebook, Google y cualquier otra cosa. ¿Hay alguna documentación sobre qué tipo de información devuelve Discourse Connect como Proveedor de SSO a nuestro sitio consumidor? ¿Incluye cosas como la foto que podemos descargar, el nombre, el apellido y al menos el nombre de usuario?