Могу ли я использовать phpBB в качестве поддельного провайдера идентификации?

У меня много пользователей, у которых есть аккаунты на форуме phpBB.

Я хотел бы, чтобы они могли повторно использовать свое имя пользователя и пароль на новом веб-сайте.

Итак, план состоит в том, что если я найду имя пользователя/пароль в своем приложении, а оно отсутствует, я вызову страницу на phpBB, которая сообщит мне:

  1. Если логин/пароль действителен
  2. Электронный адрес пользователя.

Также хотелось бы, чтобы страница на стороне phpBB защищала от атак методом перебора.

В идеале я хотел бы, чтобы мое решение работало «из коробки» без необходимости развертывания дополнительных файлов на форуме phpbb, таким образом, мое решение сможет повторно использовать любые пароли phpbb.

В качестве дополнительного бонуса я позволяю своим пользователям аутентифицироваться с помощью электронной почты или пароля, в идеале это также должно быть разрешено.

Есть ли способ добиться этого без изменения phpBB?

Если нет, какие примеры реализации?


php phpbb
person Sam Saffron    schedule 20.08.2009    source источник
comment
Находится ли новый веб-сайт у того же провайдера/хостинга, что и форум phpBB?   -  person MitMaro    schedule 21.08.2009
comment
У меня есть доступ, и я могу обойти это (либо путем доступа к базе данных, либо путем написания моей собственной страницы службы php), но в долгосрочной перспективе я хотел бы предложить простую миграцию с phpbb, поэтому phpbb может быть где угодно в облаке, и я не могу иметь к нему доступ.   -  person Sam Saffron    schedule 21.08.2009

Ответы (2)


arrow_upward
4
arrow_downward

У вас есть прямой доступ к базе данных phpBB? Если это так, ваш автономный сценарий проверки подлинности может просто проверять пароли в этой базе данных так же, как вы проверяете их в своей собственной внутренней базе данных.

Таким образом, код phpBB совершенно не имеет значения, если только они не радикально изменят свою схему аутентификации в будущем выпуске (что маловероятно) и не будут повторно использовать ваш собственный код с другой установкой phpBB (что, похоже, вам нужно). вам нужно только настроить соответствующую информацию о соединении с базой данных.

person VoteyDisciple    schedule 20.08.2009

arrow_upward
1
arrow_downward

Если у вас есть доступ к БД, на которой работает конкретный phpBB, вы можете вообще обойти файлы phpBB и получить доступ к пользовательским таблицам phpBB (страшно с точки зрения безопасности, но если это доверенная вещь и все согласовано, тогда сделайте -способный).

Помимо этого, вы можете попробовать создать плагин или как-то расширить аутентификацию, чтобы сделать свой собственный пользовательский API для доступа с вашего сайта.

person Robert DeBoer    schedule 20.08.2009