خوارزمية تجزئة كلمة المرور

csmu · 15 سبتمبر 2019، 12:17ص

أبحث عن إمكانية استخدام تجزئات كلمات المرور المخزنة في ديسكورد في ملف htpassword لتطبيق آخر.

ما خوارزمية تجزئة كلمات المرور التي يستخدمها ديسكورد؟

seanblue · 15 سبتمبر 2019، 12:53ص

عذراً إذا كنتُ أساءت الفهم، لكن هل تقصد أنك ترغب في نسخ خوارزمية التجزئة (hashing) الخاصة بـ Discourse إلى تطبيقك الخاص، حتى تتمكن من مطابقة التجزئات التي يولدها تطبيقك مع تلك المخزنة في Discourse؟ ألا يتطلب ذلك منك مزامنة كلمات المرور بانتظام من Discourse إلى ملف htpasswd الخاص بك، والتعامل مع الأملاح (salts) التي قد يستخدمها Discourse حالياً أو في المستقبل، والحفاظ على توافق تنفيذك لخوارزمية التجزئة مع خوارزمية Discourse إلى الأبد؟

مرة أخرى، عذراً إذا أسأت الفهم تماماً، لكنني اضطررتُ إلى طلب التوضيح بدافع الفضول الشخصي.

csmu · 15 سبتمبر 2019، 12:59ص

فقط للتحقق من صحة اسم المستخدم وكلمة المرور.

يقوم المستخدم بتقديم اسم مستخدم وكلمة مرور. نتحقق من أن كلمة المرور المقدمة صحيحة وفقًا للتجزئة من Discourse. لن نقوم بتوليد أي تجزئات.

seanblue · 15 سبتمبر 2019، 1:37ص

بعبارة “توليد”، لم أقصد التخزين، بل التحقق من صحة كلمة المرور.

أتساءل ما إذا كان نظام Discourse يدعم الدخول الموحد (SSO) في الاتجاه المعاكس، بحيث يتمكن المستخدمون من تسجيل الدخول إلى تطبيقات أخرى مباشرةً عبر Discourse.

Stephen · 15 سبتمبر 2019، 2:31ص

نعم، يمكن أن يكون Discourse موثوقًا لتسجيل الدخول، وهذه هي المسار الصحيح @csmu - فمحاولة تكرار طريقة التجزئة ستؤدي إلى تعطيل طريقة تسجيل الدخول لديك في كل مرة تتغير فيها.

كما أن ذلك لن يراعي المستخدمين الذين لا يملكون كلمة مرور محلية.

pfaffman · 15 سبتمبر 2019، 6:03م

إذا لم تكن مستعدًا أو قادرًا على قراءة المصدر للعثور على إجابة سؤالك المذكور، فقد يكون من الأفضل أن تتراجع قليلاً وتصف المشكلة التي تحاول حلها.

csmu · 16 سبتمبر 2019، 12:19ص

أنا قادر على قراءة المصدر بمجرد العثور عليه. لقد بحثت في الكود المصدري عن user.password، وركّزت بشكل أساسي على user_controller. لم يلفت انتباهي شيء. سأقدّر أي تلميحات حول المكان الذي يجب البحث فيه.

ما ينفع لي هو القدرة على التحقق من صحة مستخدم/كلمة مرور عبر discourse دون إضافة تسجيل دخول عبر SSO. ربما عبر الـ API أو استدعاء مباشر لبعض كود Ruby.

pfaffman · 16 سبتمبر 2019، 1:13ص

أوه، نعم. لا معنى لـ Rails إلا بعد أن تعرف مكان الأشياء. إليك هذا

github.com/discourse/discourse

app/models/user.rb

main


      
          
          def silenced_record
            user_histories.where(action: UserHistory.actions[:silence_user]).order("id DESC").first
          end

لكنني ما زلت أنصح بالرجوع إلى الخلف ووصف المشكلة بدلاً من البدء بحلّك.

csmu · 16 سبتمبر 2019، 2:31ص

شكرًا لك جاي -

بعد قراءة

 def confirm_password?(password)
    return false unless password_hash && salt
    self.password_hash == hash_password(password, salt)
  end

في ملف user.rb

يعمل ما يلي للتحقق المباشر بلغة Ruby

user = User.find_by_email('some.email.address')
user.confirm_password?'valid-password'
=> true

كنت أختبر ملف .htaccess لخادم ما، وكنت أبحث عن طريقة للتحقق من اسم المستخدم وكلمة المرور عبر منصة Discourse لهذا الخادم دون الحاجة إلى معرفة كلمات المرور لتوليد ملف .htaccess. إن نهج SSO أفضل، ومعرفة كيفية التحقق من اسم المستخدم وكلمة المرور دون استخدام SSO ستكون مفيدة لي.

lcb · 14 مايو 2021، 8:26ص

مرحبًا،
أود معرفة دالة تجزئة كلمة المرور المستخدمة لتسجيل الدخول المحلي والمعلمات المرتبطة بها (طول التجزئة، الملح، اسم المكتبة الفعلية). لم يساعدني النظر في ملف Ruby المذكور سابقًا. أحتاج إلى هذه المعلومات لأغراض الامتثال: تتطلب أفضل الممارسات المتعلقة بـ GDPR (وفي مجال أمن الأنظمة عمومًا) توثيق هذه المعلومات.

تعديل: وجدت الإجابة هنا: Export password hashes in the PHC format → discourse/docs/SECURITY.md at main · discourse/discourse · GitHub

الموضوع		الردود	مرات العرض
Adding SSO after many users already signed up -- how to migrate them? SSO	17	1568	11 سبتمبر 2022
What hashing algorithm is used in discourse for hashing passwords? Support	3	2652	8 يونيو 2024
Using Discourse as an account provider and PBKDF2 problems Development	10	612	6 يناير 2024
Export password hashes in the PHC format Self-Hosting how-to	8	4566	7 يناير 2021
Reset password with custom ruby file Development	9	839	27 سبتمبر 2023

خوارزمية تجزئة كلمة المرور

الموضوعات ذات الصلة