magento2 密码验证规则 正则表达式 密码就是 大写 小写 数字 特殊字符 任意匹配2种(可配置) 长度>=6
vendor\magento\module-customer\Model\AccountManagement.php
fn checkPasswordStrength
fn makeRequiredCharactersCheck
protected function makeRequiredCharactersCheck($password)
{
$counter = 0;
$requiredNumber = $this->scopeConfig->getValue(self::XML_PATH_REQUIRED_CHARACTER_CLASSES_NUMBER);
$return = 0;
if (preg_match('/[0-9]+/', $password)) {
$counter++;
}
if (preg_match('/[A-Z]+/', $password)) {
$counter++;
}
if (preg_match('/[a-z]+/', $password)) {
$counter++;
}
if (preg_match('/[^a-zA-Z0-9]+/', $password)) {
$counter++;
}
if ($counter < $requiredNumber) {
$return = $requiredNumber;
}
return $return;
}
密码以hash串保存在用户表 字段:password_hash, 组成:hash_str:salt:version 三部分组成,检查第一部分,第二部分,第三部分
version:magento现在有两个版本 1:sha256 2.argon2,
具体的介绍在这里:
https://devdocs.magento.com/guides/v2.4/config-guide/secy/hashing.html
vendor\magento\framework\Encryption\Encryptor.php 处理密码的文件
fn validateHash //验证密码是否正确
fn getHash //获取hash串
两个方法中都有一段逻辑:
if ($version === self::HASH_VERSION_ARGON2ID13) { // php7.0 以后才有的密码加密方式,基本表现为 password_hash 里面的version=2
$hash = $this->getArgonHash($password, $salt);
} else {
$hash = $this->generateSimpleHash($salt . $password, $version);
}
在getArgonHash中:
sodium_crypto_pwhash主要是用Argon2id对密码进行散列,生成原始散列;简单来说就是这里返回了一个二进制字符串,然后通过bin2hex 将二进制转为16进制,这就是密码hash的第一部分,那么这个第二部分怎么来的呢?当我们创建密码的时候,会生成一个随机salt,设置密码成功后会将salt保存到password_hash,也就是第二部分。当我们需要验证密码正确与否时,只需要将password_hash拆解成一个数组即可。
题外话 :magento 为什么要用 sodium_crypto_pwhash 而不用sodium_crypto_pwhash_str(),不是很清楚,sodium_crypto_pwhash_str主要是用Argon2id对密码进行散列,生成编码散列, sodium_crypto_pwhash_str_verify方法可以直接验证密码是否正确,按照道理来讲 sodium_crypto_pwhash_str()获取hash串应该是更方便的,比如v=19
VVZyR3BvZU9CbzVjSVhOVg$5/2dqPJzDr0jRN19iQNKdLe4Fdnp1MFnyzXewfcpChI,可能不用这种方式的原因是为了兼容magento上一代的密码吧,毕竟这个密码串那么长
在libsodium扩展中有相关方法(扩展下载https://download.libsodium.org/libsodium/releases/),文件目录(\libsodium-1.0.17\src\libsodium\crypto_pwhash\argon2\argon2.c),
方法名:argon2id_hash_raw:【这是sodium_crypto_pwhash对应的方法】, 在与java对接中需要java找到对应方法
argon2id_hash_encoded ,argon2id_verify
小工具:https://argon2.online/ 在线验证argon2的工具,下图是一个标准的magento2 密码生产参数设定
在generateSimpleHash中:
使用sha256的方式加密,非常简单了,参数就是 password和“sha256”
