February 4th, 2009 Category: Zend Framework
4 Comments »
En los casos comunes de autenticaciones con Zend_Auth nosotros le pasamos un usuario y una clave, pero hay veces que necesitamos que valide por mas datos.
Una autenticacion comun seria la siguiente.
Zend_Loader::loadClass( 'Zend_Auth_Adapter_DbTable' );
$dbAdapter = Zend_Registry::get( 'dbAdapter' );
$authAdapter = new Zend_Auth_Adapter_DbTable( $dbAdapter );
$authAdapter->setTableName( 'SYS_USER' );
$authAdapter->setIdentityColumn( 'username' );
$authAdapter->setCredentialColumn( 'password' );
$authAdapter->setIdentity( strtolower( trim( $username )) );
$authAdapter->setCredential( md5( $passwd ));
$auth = Zend_Auth::getInstance();
$result = $auth->authenticate( $authAdapter );
Pero que pasa si ademas necesitamos validar si el usuario esta o no activo en el sistema, o si no esta suspendido temporalmente?
Nososotros podemos pasarle un parametro extra a Zend_Auth_Adapter_DbTable, para que filtre por mas datos.
Por ejemplo el caso anterior, quedaria de la siguiente manera si ademas nosotros queremos saber si el campo status = ‘A’
Zend_Loader::loadClass( 'Zend_Auth_Adapter_DbTable' );
$dbAdapter = Zend_Registry::get( 'dbAdapter' );
$authAdapter = new Zend_Auth_Adapter_DbTable( $dbAdapter, 'SYS_USER', 'username', 'password', "MD5( ? ) AND status = 'A' " );
$authAdapter->setIdentity( strtolower( trim( $username )) );
$authAdapter->setCredential( md5( $passwd ));
$auth = Zend_Auth::getInstance();
$result = $auth->authenticate( $authAdapter );
De esta forma, cada vez que intentemos loguearnos nos va a encriptar la clave con la funcion MD5, y preguntar si status =’A’.
Si ustedes no necesitan encriptar la clave pueden usar directamente el signo de pregunta sin la funcion MD5, tambien pueden agregar mas funcionalidades, para mas detalle mirar la documentacion oficial
En el administrador del blogzf tenemos un ejemplo de implementacion de este sistema.
Invitame una Cerverza
Comentar
4 Responses
Curso Zend Framework
- ZF Clase 10 – Autenticacion
- ZF Clase 9 – Join y View Helpers
- ZF Clase 8 – Creando un sitio multi idioma
- ZF Clase 7 – Cambiando el diseno facilmente, usando Bootstrap From Twitter
- ZF Clase 6 – Zend + Twitter + Oauth
- ZF Clase 5 – Editar, Borrar y Paginar nuestros datos.
- ZF Clase 4 – Modelos y Formularios
- ZF Clase 3 – Objeto view, y contenido estatico
- ZF Clase 2 – Estructura de directorios, MVC y layouts
- ZF Clase 1 – Configuracion y creacion del proyecto
- Ver todos los capitulos
Categorias
- Zend Framework (49)
- php5 (29)
- linux (16)
- Zend (15)
- Curso (10)
- varios (8)
- Open source (5)
- offtopic (4)
- blogzf (4)
- eventos (3)
md5( $passwd )
hoy por hoy es casi lo mismo que guardar la pass en texto plano, y que con un DB de 30GB tenes todas las combinaciones posibles de MD5 (y aunque tarde hasta dias), es como vulnerable, mas alla de que la mayoria de los usuarios pone passwords pelotudas como "sombrilla", y la sacan con diccionarios.
Lo mejor para mi es tener una key, (en php podes trabajar en bluefish) y encriptar asi :-).
private $int_key = '$2a$Dbf·21.311#i';
private function keyFrom (&$dato) {
return crypt($dato,$this->int_key);
}
public function firma (&$dato) {
return sha1($this->keyFrom($dato));
}
Asi obtenes un sha1 de una key generada de la contraseña y otra key bluefish.
¿¿¿¿¿paranoico yo?????