Sì! Sono riuscito a creare uno script che scorre tutti gli utenti di Discourse e li importa sulla nostra piattaforma con il loro hash della passphrase.
Presto potremo consentire a chiunque abbia un forum Discourse di aggiungere anche Eventi, Videoconferenze, Media e altro, con Discourse che risiede nella scheda “Discuss”. Puoi vedere il risultato su https://intercoin.app
In pratica, trasformiamo qualsiasi installazione di Discourse in un social network moderno alla Facebook. Abbiamo lavorato per anni su queste funzionalità e ora vogliamo integrarle strettamente anche con Discourse e Wordpress. In modo che le persone possano combinare Wordpress, Discourse e Qbix e auto-ospitare la loro intera community.
Ma ho ancora due problemi.
- In Qbix, effettuiamo l’hashing della password sul client almeno con sha1(password + userId) prima di inviarla al server. Anche quando è https. Lo facciamo in modo che il server o qualsiasi MITM NON abbia MAI la password, per riutilizzarla su più siti. Ma Discourse invia semplicemente la password al server. Quindi abbiamo dovuto disattivare questo hashing sul lato client. È possibile eseguire alcune iterazioni di hash_pbkdf2 sul lato client e il resto sul lato server? Ho provato e non sembra corrispondere:
php > $password = 'abc';
php > $salt = 'def';
php > $a = hash_pbkdf2('sha256', $password, $salt, 64000, 64, false);
php > $b = hash_pbkdf2('sha256', $password, $salt, 1, 64, false);
php > $c = hash_pbkdf2('sha256', $password, $b, 63999, 64, false);
php > echo $a;
9d7a21ae4113bea06d81e0c486f45ab778bb739f19f7a6a305d8401918a9d8a1
php > echo $c;
f42af6861ebcf8560b027276e0d02ad46502636045486057d81be7c4c4aa630e
- Sarebbe possibile utilizzare semplicemente Discourse come Provider SSO, invece di usare il nostro sito come provider SSO? Allora gli host dei forum Discourse sarebbero ancora più propensi ad espanderlo con le funzionalità di Qbix, dato che il login rimarrebbe esattamente lo stesso, e dal lato di Discourse. Facebook, Google e chiunque altro. Esiste una documentazione su che tipo di informazioni restituisce Discourse Connect come Provider SSO al nostro sito consumer? Include cose come la foto che possiamo scaricare, il nome, il cognome e almeno il nome utente?