Laravel
社区 动态 AI作品 话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

Auth::logoutOtherDevices 导致密码错误问题

longren610 的个人博客 / 4 / 12 / 创建于 6年前 / 更新于 6年前

注:经 [@ALMAS](https://learnku.com/users/7036) 提醒,发现user模型中有定义一个修改器,用于密码处理,问题出在该处,并非laravel 问题。特此纠正,感谢 [@ALMAS](https://learnku.com/users/7036) 的提醒。
代码如下:

 public function setPasswordAttribute($value)
    {
        $value = str_replace(' ', '', $value);
        $this->attributes['password'] = bcrypt($value);
    }

以上纠正于:2019年7月16日 20:32分!

最近做开发的时候,要求实现单设备登录功能,看了下文档,发现 Auth::logoutOtherDevices($password) 正好满足条件。于是兴冲冲的使用了该方法。结果悲剧了, 账号登录后,Auth::logoutOtherDevices 处理完,再想登录的时候,报密码错误。找问题发现使用 Auth::logoutOtherDevices 后,数据库中的密码变了,用 password_verify 去验证数据库中改变后的密码,死活验证不通过。 好嘛,只能跟踪源码找问题了。

     /**
     * Invalidate other sessions for the current user.
     *
     * The application must be using the AuthenticateSession middleware.
     *
     * @param  string  $password
     * @param  string  $attribute
     * @return bool|null
     */
    public function logoutOtherDevices($password, $attribute = 'password')
    {
        if (! $this->user()) {
            return;
        }

        $result = tap($this->user()->forceFill([
          **$attribute => Hash::make($password),** 
        ]))->save();

        if ($this->recaller() ||
            $this->getCookieJar()->hasQueued($this->getRecallerName())) {
            $this->queueRecallerCookie($this->user());
        }

        $this->fireOtherDeviceLogoutEvent($this->user());

        return $result;
    }

在该方法中,发现密码是Hash::make加密后存储。刚开始以为是这里加密方式问题,后来经测试发现不是。真正的原因是密码被加密了两次,$attribute => Hash::make($password) 加密了一次,在入库的时候又做了一次hash,最终导致密码验证不通过。找到问题就简单了,直接改成如下代码,问题解决。

        $result = tap($this->user()->forceFill([
            **$attribute => $password,**
        ]))->save();

初次发文,请多关照!

单设备登录 logoutOtherDevices
本作品采用《CC 协议》,转载必须注明作者和本文链接
longren610
15 声望
后端开发 @ 博文
学习使人进步!
《L05 电商实战》
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《G01 Go 实战入门》
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 12
排序:
时间 投票
_杭城浪子
课程读者 401 声望 / PHP & java @ nc

Laravel多少版本有这个功能?

6年前 评论
longren610 (楼主) 6年前
5.6以上吧,我用的5.8
ALMAS
课程读者 131 声望 / 研发工程师 @ 华云数据

话说入库时怎么会再hash一次?是不是自己写了修改器?

6年前 评论
longren610 (楼主) 6年前
没呢,用的是默认的auth,没有修改过的。
ALMAS (作者) 6年前
@longren610 我说的在你的user模型里有没有定义修改器
longren610 (楼主) 6年前
@ALMAS 检查了一下user模型,里面果然有修改器。尴尬了。。。
captain2021
Laravel 5.8 译者 422 声望 / 开发 @ 谈笑风生

直接改源码有点不妥吧,可以复写这个方法吗?

6年前 评论
longren610 (楼主) 6年前
最终检查,问题不在laravel,而user模型中加了password修改器导致的。
captain2021 (作者) 6年前
@longren610 好吧,相当于不需要改动源码,就正常的?
longren610 (楼主) 6年前
是的,源码没问题。
captain2021 (作者) 6年前
@longren610 好的,感谢回复
Epona
站长 1.8k 声望 / 石头剪刀部长 @ Poper

此方法要求用户提供其当前密码,你的应用程序应通过输入表单接受该密码:

应该把未加密的密码传进去吧

6年前 评论
longren610 (楼主) 6年前
是的,要传未加密的串
1
lovecn
188 声望

**这是什么语法

[
          **$attribute => Hash::make($password),** 
        ]
6年前 评论
longren610
15 声望 / 后端开发 @ 博文

@lovecn 前后的**号,只是想做一个提示,不是语法。。。 :joy:

6年前 评论
nullable
课程读者 2 声望

@longren610 大佬,这个forceFill是个静态方法吗?没找到源码在哪里啊

6年前 评论
longren610
15 声望 / 后端开发 @ 博文

@nullable 我也只是一只刚接触laravel不久的菜鸟 :joy: 不是大佬啦。如果是laravel5.8的话,这个forceFill 在 vendor\laravel\framework\src\Illuminate\Database\Eloquent\Model.php 里面,第347行

6年前 评论
nullable 6年前
谢谢大佬:joy: :joy: :joy:
hiscxy
课程读者 29 声望

我用的是自带的Auth,只要在LoginController里重写authenticated方法就可以了

    protected function authenticated(Request $request, $user)
    {
        $this->guard()->logoutOtherDevices($request->password);
    }

然后我又碰到了一个问题:在使用

Auth::loginUsingId(1,  $remember  =  false);  //登录指定用户 ID 的用户到应用上

登录时,怎么退出其它设备的登录状态?

6年前 评论
longren610 (楼主) 6年前
Auth::logoutOtherDevices 这种方式必须要提供密码。如果没有用密码登录,就只能另外想办法了。比如users增加一个字段,每次登录修改这个字段的值。操作的时候判断一下这个值 是不是有变化,有变化就退出登录。
hiscxy (作者) 6年前
@longren610 在Request里,有个session_attributes数组(其实就是Session),里面包含有【login_web_59……9d】=>用户ID和【password_hash】=>新Hash的密码。 倒是可以试试用【login_web_59……9d】来识别用户登录。
longren610 (楼主) 6年前
@iscxy 👍 可以试试。
test-1
0 声望

app接口不能用这个嘛

5年前 评论
longren610
15 声望 / 后端开发 @ 博文

@test-1 不能,app验证用的是token,这个其实是每次登录,将密码重新计算一次hash值,存入用户表中,web登录状态检测到用户表中密码字段值变了,就会把用户踢下线。而app登录状态一般都是用token,要实现其实也简单,在用户登录的时候同时修改一下app用的token就行了。

5年前 评论
xiayimiaozhongjianni
见习助教 13 声望

我也遇到了这个问题,我传了未加密的密码进去,我同时登录两台设备,数据库密码还是别改了。 Auth::guard('money')->logoutOtherDevices($validatedData['password']);

5年前 评论
longren610 (楼主) 5年前

数据库里面的密码每次登录都会有变动的,因为里面存的是增加了时间戳加密后的串,所以每次登录,都会不一样。但其实真正的密码是没变的,之所以这样处理,一是为了安全,二是为了实现单设备登录。laravel web端的登录状态判断跟password有关的,只要数据库中password字段发生改变,已登录的设备就会被踢下线。

xiayimiaozhongjianni (作者) 5年前
@longren610 不会吧,登录会改变密码吗,我试过了呀,不会改呀,之前改密码可能是你说的那个密码被加密了两次的原因,但是你说每次登录密码都不一样,我测试了呀没有改
longren610 (楼主) 5年前
@xiayimiaozhongjianni 我说的是使用Auth::logoutOtherDevices 的情况下,数据库中存储的密码字符会改变,其实Auth::logoutOtherDevices就相当于是把密码重新用加密算法再加密了一次。

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
longren610
后端开发 @ 博文
文章
1
粉丝
1
喜欢
2
收藏
3
排名:1375
访问:2865
私信
所有博文
文章归档
1 篇 2019 年 7 月
最新文章 最受欢迎
6年前 Auth::logoutOtherDevices 导致密码错误问题
2 Auth::logoutOtherDevices 导致密码错误问题
博客标签
单设备登录
1
 logoutOtherDevices
1
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码 | 方长科技协力运营

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消