Oui ! J’ai réussi à créer un script qui parcourt tous les utilisateurs de Discourse et les importe avec le hachage de leur phrase secrète sur notre plateforme.
Bientôt, nous pourrons permettre à quiconque possède un forum Discourse d’ajouter également des événements, de la visioconférence, des médias, et plus encore, avec Discourse dans l’onglet « Discuter ». Vous pouvez voir le résultat sur https://intercoin.app
Essentiellement, transformer n’importe quelle installation Discourse en un réseau social moderne à la Facebook. Nous avons travaillé pendant des années sur ces fonctionnalités et maintenant nous voulons les intégrer étroitement avec Discourse et Wordpress également. Ainsi, les gens pourront combiner Wordpress, Discourse et Qbix et auto-héberger leur communauté entière.
Mais il me reste deux problèmes.
- Dans Qbix, nous hachons le mot de passe côté client au moins avec sha1(mot de passe + userId) avant de l’envoyer au serveur. Même lorsque c’est https. Nous le faisons pour que le serveur ou tout MITM n’ait JAMAIS le mot de passe, pour le réutiliser sur différents sites. Mais, Discourse envoie simplement le mot de passe au serveur. Nous avons donc dû désactiver ce hachage côté client. Est-il possible de faire quelques itérations de hash_pbkdf2 côté client, et le reste côté serveur ? J’ai essayé et cela ne semble pas correspondre :
php > $password = 'abc';
php > $salt = 'def';
php > $a = hash_pbkdf2('sha256', $password, $salt, 64000, 64, false);
php > $b = hash_pbkdf2('sha256', $password, $salt, 1, 64, false);
php > $c = hash_pbkdf2('sha256', $password, $b, 63999, 64, false);
php > echo $a;
9d7a21ae4113bea06d81e0c486f45ab778bb739f19f7a6a305d8401918a9d8a1
php > echo $c;
f42af6861ebcf8560b027276e0d02ad46502636045486057d81be7c4c4aa630e
- Serait-il possible d’utiliser simplement Discourse comme fournisseur SSO, au lieu d’utiliser notre site comme fournisseur SSO ? Alors les hôtes de forums Discourse seraient encore plus susceptibles de l’étendre avec les fonctionnalités Qbix, car la connexion resterait exactement la même, et du côté de Discourse. Facebook, Google, et tout le reste. Existe-t-il une documentation sur le type d’informations que Discourse Connect renvoie en tant que fournisseur SSO à notre site consommateur ? Inclut-il des éléments tels que la photo que nous pouvons télécharger, le prénom, le nom et au moins le nom d’utilisateur ?