md5 şifreleme yapılmış user passwordlerin bcrypt hash e çevrilmesi hk.

Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

md5 şifreleme yapılmış user passwordlerin bcrypt hash e çevrilmesi hk.

orjantika

Herkese merhabalar,
Benim mevcut çalışan sitemde user passwordler md5 kullanılarak şifrelenmiş biçimde DB de saklanıyor. Ve şifrenin orjinali tutulmuyor.
Şu anda devam ettiğim laravel projesi ise bu sitenin yerini alacak. Ancak şifre konusunda sıkıntılıyım .
Sebebi ise laravel default olarak bcrypt ile şifreleme yaparak DB de password u kontrol ediyor.

1. Ben mevcut md5 ile şifrelenmiş passwordleri laravel için bcrypt hash haline çevirebilir miyim ?
2. Bu mümkün değilse laravelin user login işlemlerini, DB de kayıtlı şifreyi md5 ile kontrol edecek şekilde nasıl düzenleme yapmalıyım ?

Yardımlarınızı bekliyorum.

tutkun

Kodları denemedim ama şöyle bir yöntem izleyebilirsin;
encrypt-and-decrypt-md5
Önce yukarıdaki decrypt fonksiyonları ile şifreleri decrypt edip ayrı bir tabloya kaydet. Sonra da açılan şifreyi tekrardan hangi kullanıcıya aitse bcrypt('sifre') şeklinde şifreleyerek kaydet.
Tabii bir kaç kez md5'lediysen bir kaç kez de decrypt etmelisin

orjantika

tutkun wrote:Kodları denemedim ama şöyle bir yöntem izleyebilirsin;
encrypt-and-decrypt-md5
Önce yukarıdaki decrypt fonksiyonları ile şifreleri decrypt edip ayrı bir tabloya kaydet. Sonra da açılan şifreyi tekrardan hangi kullanıcıya aitse bcrypt('sifre') şeklinde şifreleyerek kaydet.
Tabii bir kaç kez md5'lediysen bir kaç kez de decrypt etmelisin :)

Teşekkür ederim ilgilendiğin için ama kodları denedim söylediğin gibi çalışmıyor. md5 ile şifrelenmiş datayı tekrar orjinal haline getirmek mümkün değil diye biliyorum zaten. Galiba login kısmında kullanıcının şifresini md5 e çevirip onunla DB den kontrol etmenin nasıl yapılabileceği ile ilgili arkadaşların bilgi vermesi gerekiyor. Benim işimi ancak o yöntem görecek gibi.

kazim.karagul

@tutkun'un önerdiği MD5 decrypt işleminden sonuç alamazsan bir de şunu deneyebilirsin;

Giriş kodlarının olduğu controller dosyasında şifre bcrypt fonksiyonu ile şifrelenip giriş yapmaya çalışıyor. Sen orada şifrenin ham halini bir de md5 ile şifrele. Ardından giriş başarısız olup olumsuz sonuç döndüğünde md5 olan şifre ile işlemi tekrar yap ve giriş yapmasını sağla. Bu şekilde giriş yapanlara da mecburen şifre güncelleme sayfasına yönlendir. İlk girişlerinde eski şifreleri ile girecekler ve şifreleri güncellenirken sen yeniden bcrypt ile şifreleyip kaydedeceğin için bir sonraki girişlerinde otomatik bcrypt ile şifrelenmiş hali ile giriş yapacak ve senin eklediğin 2. md5 kontrolüne gerek kalmayacak. Bunu tüm kullanıcılarda ek bir sütun açarak 1-0 değerleri ile sakla. Belli bir zaman sonra herkesin şifresini değiştirdiğine emin olduktan sonra geçiş kodlarını temizlersin. Tabi bu en ilkel çözüm oluyor. Kullanıcı sayın azsa işine yarayabilir.

Bir diğer öneri ise kullanıcı girişi sırasında eposta, nick, doğum tarihi gibi mutlaka dolu olduğuna emin olduğun bazı alanları da ekleyerek giriş yapmalarını sağla. Bu sırada şifreyi kontrol etme ve şifre güncelleme sayfasına yönlendir. Bu da bir çözüm olabilir.

Daha farklı bir çözüm arıyorsan ön bilgi ver çözüm üretmeye çalışalım.

Kolay gelsin.

orjantika

kazim.karagul wrote:@tutkun'un önerdiği MD5 decrypt işleminden sonuç alamazsan bir de şunu deneyebilirsin;

Giriş kodlarının olduğu controller dosyasında şifre bcrypt fonksiyonu ile şifrelenip giriş yapmaya çalışıyor. Sen orada şifrenin ham halini bir de md5 ile şifrele. Ardından giriş başarısız olup olumsuz sonuç döndüğünde md5 olan şifre ile işlemi tekrar yap ve giriş yapmasını sağla. Bu şekilde giriş yapanlara da mecburen şifre güncelleme sayfasına yönlendir. İlk girişlerinde eski şifreleri ile girecekler ve şifreleri güncellenirken sen yeniden bcrypt ile şifreleyip kaydedeceğin için bir sonraki girişlerinde otomatik bcrypt ile şifrelenmiş hali ile giriş yapacak ve senin eklediğin 2. md5 kontrolüne gerek kalmayacak. Bunu tüm kullanıcılarda ek bir sütun açarak 1-0 değerleri ile sakla. Belli bir zaman sonra herkesin şifresini değiştirdiğine emin olduktan sonra geçiş kodlarını temizlersin. Tabi bu en ilkel çözüm oluyor. Kullanıcı sayın azsa işine yarayabilir.

Bir diğer öneri ise kullanıcı girişi sırasında eposta, nick, doğum tarihi gibi mutlaka dolu olduğuna emin olduğun bazı alanları da ekleyerek giriş yapmalarını sağla. Bu sırada şifreyi kontrol etme ve şifre güncelleme sayfasına yönlendir. Bu da bir çözüm olabilir.

Daha farklı bir çözüm arıyorsan ön bilgi ver çözüm üretmeye çalışalım.

Kolay gelsin.

@kazim.karagul önerdiğin ilk yöntem mantıklı ancak bu şekilde sorun çözülür, üyelerin hepsine tekrardan mail gönderip şifre yenileme ile uğraştırmak istemiyorum. Geçiş aşamasında inputa girdikleri şifreyi md5 ile kontrol edip doğruysa bunu bcrypt ile ayrı bi kolona yazmak ve sonrasında da o kolondan kontrol ederek devam etmek en iyisi.
Ancak ben tam olarak bu bahsettiğimiz kontrolün hangi dizin ve dosyada yapıldığını bilmiyorum.

Laravel de pek iyi sayılmam ama hangi dosyada bu işlemleri yapmam gerektiğini söyleyebilirseniz sorunu çözerim.

kazim.karagul

Yazımı tekrar okudum da çok sıkıntılı cümleler kurmuşum

Çalışırken işi bırakıp başka konulara bakınca kafa dağılıyo gerçekten.

Bu 3 kaynak tüm ihtiyacınızı karşılar.

https://laracasts.com/discuss/channels/laravel/how-to-disable-password-hasing-of-auth
http://justlaravel.com/custom-authentication-laravel/
https://laraveltips.wordpress.com/2015/06/15/how-to-make-user-login-and-registration-laravel-5-1/

orjantika

kazim.karagul wrote:Yazımı tekrar okudum da çok sıkıntılı cümleler kurmuşum Çalışırken işi bırakıp başka konulara bakınca kafa dağılıyo gerçekten.

Bu 3 kaynak tüm ihtiyacınızı karşılar.

https://laracasts.com/discuss/channels/laravel/how-to-disable-password-hasing-of-auth
http://justlaravel.com/custom-authentication-laravel/
https://laraveltips.wordpress.com/2015/06/15/how-to-make-user-login-and-registration-laravel-5-1/

İlgilendiğin için @kazim.karagul sana teşekkür ederim.
Verdiğin linklerdeki çözümleri pek anlayamadım açıkçası ve kendi çözümümü geliştirmeye gayret ettim.
Illuminate\Foundation\Auth\AuthenticatesUsers.php classının login metodunu şu şekilde özelleştirdim.

public function login(Request $request)
 {
 $this->validateLogin($request);

 $email = array('email' => $request->email);
 $sart = array('email' => 'exists:users,email,durum,1');
 $durumDenetim = Validator::make($email, $sart);
 if($durumDenetim->fails()){
 return $this->sendFailedLoginResponse($request);
 }

 // If the class is using the ThrottlesLogins trait, we can automatically throttle
 // the login attempts for this application. We'll key this by the username and
 // the IP address of the client making these requests into this application.
 $throttles = $this->isUsingThrottlesLoginsTrait();

 if ($throttles && $lockedOut = $this->hasTooManyLoginAttempts($request)) {
 $this->fireLockoutEvent($request);

 return $this->sendLockoutResponse($request);
 }

 $credentials = $this->getCredentials($request);

 if (Auth::guard($this->getGuard())->attempt($credentials, $request->has('remember'))) {
 $user = User::where('email',$email)->select('orginal_password')->first();
 if ($user->orginal_password == null || $user->orginal_password == 0){
 User::where('email',$email)->update([
 'orginal_password' => $request->password,
 ]);
 }
 return $this->handleUserWasAuthenticated($request, $throttles);
 }

 // If the login attempt was unsuccessful we will increment the number of attempts
 // to login and redirect the user back to the login form. Of course, when this
 // user surpasses their maximum number of attempts they will get locked out.
 if ($throttles && ! $lockedOut) {
 $this->incrementLoginAttempts($request);
 }

 /*
 * Eğer girilen şifre bcrypt ile şifrelenmiş olan password alanında yoksa bu kez
 * inputtan gelen değer alınıp md5 yapılarak md5_password kolonunda aranıyor.
 * Kullanıcının password inputuna girdiği değer " $request->password "
 */
 $sifre = $request->password; // 12345678 gibi
 $veriler = array('password' => md5($sifre)); // 12345678 şifresi md5 ile 25d55ad283aa400af464c76d713c07ad haline dönüştürülüyor.
 $email = $request->email; // Geçerlilik Denetimi için email request ten çekildi
 /*
 * users tablosunda md5_password alanındaki değerle inputtan gelen aynı olacak
 * ve email alanındaki mail requestteki mail eşleşecek, ayrıca
 * durum 1 olacak şekilde kural oluşturuldu.
 */
 $kural = array('password' => 'exists:users,md5_password,email,'.$email.',durum,1');
 $denetim = Validator::make($veriler, $kural); // Kullanıcıdan gelen değer Denetimden geçirildi.

 if($denetim->passes()){ // eğer denetimden geçtiyse yani şifre doğruysa
 $user = User::where('email',$email)->select('orginal_password', 'password')->first();
 if ($user->orginal_password == null || $user->password == null) {
 User::where('email', $email)->update([
 'password' => bcrypt($sifre),
 'orginal_password' => $sifre,
 ]);
 }
 // md5_password tablosundaki değer ile eşleşiyorsa Login olsun.
 return $this->handleUserWasAuthenticated($request, $throttles);
 }
 // md5_password tablosundaki ile eşleşmiyorsa login ekranına geri dönecek
 return $this->sendFailedLoginResponse($request);
 }

Laravelin genel standartlarının dışında spagetti kod gibi olabilir ancak böyle yapınca sonuca ulaştım.
Bunu belki ileride böyle bir çözüm arayan olursa diye paylaşmak istedim.
Baştanda söylediğim gibi Laraveli çok efekt kullanmadığım ve detaylarına hakim olmadığım için ancak çözümü bu şekilde geliştirebildim.

kazim.karagul

Çözüme kavuştaysan sorun yok demektir

Linkler belki başkasına yardımcı olur.

Çözümü paylaştığın için teşekkürler.

mgsmus

Size yol göstereyim

config/app.php içerisine bakarsanız eğer Laravel Framework Service Providers kısmında Illuminate\Hashing\HashServiceProvider::class göreceksiniz.
vendor/laravel/framework/src/Illuminate/Hashing/HashServiceProvider.php içerisine de bakarsanız orada registeryöntemi var:

 /**
 * Register the service provider.
 *
 * @return void
 */
 public function register()
 {
 $this->app->singleton('hash', function () {
 return new BcryptHasher;
 });
 }

Laravel hashing için bcrypt kullanıyor. Bu yöntemde Hash facade BcryptHasher kullanıyor. Şimdi vendor/laravel/framework/src/Illuminate/Hashing/BcryptHasher.php içerisine bakalım ne oluyor

BcryptHasher HasherContract interface kullanıyor. O yüzden 3 yöntemi barındırmak zorunda. Bunlar

 /**
 * Hash the given value.
 *
 * @param string $value
 * @param array $options
 * @return string
 */
 public function make($value, array $options = []);

 /**
 * Check the given plain value against a hash.
 *
 * @param string $value
 * @param string $hashedValue
 * @param array $options
 * @return bool
 */
 public function check($value, $hashedValue, array $options = []);

 /**
 * Check if the given hash has been hashed using the given options.
 *
 * @param string $hashedValue
 * @param array $options
 * @return bool
 */
 public function needsRehash($hashedValue, array $options = []);

Buradaki check yöntemi password_verify ile şifre ve hashli değeri karşılaştırıyor

public function check($value, $hashedValue, array $options = [])
 {
 if (strlen($hashedValue) === 0) {
 return false;
 }

 return password_verify($value, $hashedValue);
 }

Sizin yapmak istediğinize göre yani şöyle bir check yöntemim olsaydı mesela:

public function check($value, $hashedValue, array $options = [])
 {
 if (strlen($hashedValue) === 0) {
 return false;
 }

 return md5($value) == $hashedValue;
 }

İşinizi görecekti.

Öyleyse ben HasherContract interface kullanan yeni bir Hasher yazarım mesela

// örneğin app/Services klasörü içerisine
class MD5Hasher implements HasherContract

Daha sonra bunu Hash olarak kullanabilmek için yeni bir providera ihtiyacım olacak

// app/Providers içerisine
class MD5HashServiceProvider extends HashServiceProvider {
 public function register()
 {
 $this->app->singleton('hash', function () {
 return new MD5Hasher;
 });
 }
}

Sonra da config/app.php içerisinde mevcut HashServiceProvider'ı kaldırıp yeni oluşturduğumu koyarım

...
Illuminate\Foundation\Providers\FoundationServiceProvider::class,
// Illuminate\Hashing\HashServiceProvider::class,
App\Providers\MD5HashServiceProvider::class,
Illuminate\Mail\MailServiceProvider::class,
Illuminate\Notifications\NotificationServiceProvider::class,
...

Laravel'de kabaca işler bu şekilde yürümekte

Son olarak MD5Hasher içerisinde başarıyla giriş yapan kullanıcıları yeni bcrypt sistemine taşıyacak bir sistem kurarsanız daha iyi olur, zamanla hepsi bcrypt e geçmiş olur, sonra da MD5HashServiceProvider'ı kaldırıp tekrar HashServiceProvider'ı eklediniz mi kaldığınız yerden yeni sistemle devam edersiniz.

orjantika

mgsmus wrote:Size yol göstereyim

config/app.php içerisine bakarsanız eğer Laravel Framework Service Providers kısmında Illuminate\Hashing\HashServiceProvider::class göreceksiniz.
vendor/laravel/framework/src/Illuminate/Hashing/HashServiceProvider.php içerisine de bakarsanız orada registeryöntemi var:
 /**
 * Register the service provider.
 *
 * @return void
 */
 public function register()
 {
 $this->app->singleton('hash', function () {
 return new BcryptHasher;
 });
 }
Laravel hashing için bcrypt kullanıyor. Bu yöntemde Hash facade BcryptHasher kullanıyor. Şimdi vendor/laravel/framework/src/Illuminate/Hashing/BcryptHasher.php içerisine bakalım ne oluyor

BcryptHasher HasherContract interface kullanıyor. O yüzden 3 yöntemi barındırmak zorunda. Bunlar
 /**
 * Hash the given value.
 *
 * @param string $value
 * @param array $options
 * @return string
 */
 public function make($value, array $options = []);

 /**
 * Check the given plain value against a hash.
 *
 * @param string $value
 * @param string $hashedValue
 * @param array $options
 * @return bool
 */
 public function check($value, $hashedValue, array $options = []);

 /**
 * Check if the given hash has been hashed using the given options.
 *
 * @param string $hashedValue
 * @param array $options
 * @return bool
 */
 public function needsRehash($hashedValue, array $options = []);
Buradaki check yöntemi password_verify ile şifre ve hashli değeri karşılaştırıyor
public function check($value, $hashedValue, array $options = [])
 {
 if (strlen($hashedValue) === 0) {
 return false;
 }

 return password_verify($value, $hashedValue);
 }
Sizin yapmak istediğinize göre yani şöyle bir check yöntemim olsaydı mesela:
public function check($value, $hashedValue, array $options = [])
 {
 if (strlen($hashedValue) === 0) {
 return false;
 }

 return md5($value) == $hashedValue;
 }
İşinizi görecekti.

Öyleyse ben HasherContract interface kullanan yeni bir Hasher yazarım mesela
// örneğin app/Services klasörü içerisine
class MD5Hasher implements HasherContract
Daha sonra bunu Hash olarak kullanabilmek için yeni bir providera ihtiyacım olacak
// app/Providers içerisine
class MD5HashServiceProvider extends HashServiceProvider {
 public function register()
 {
 $this->app->singleton('hash', function () {
 return new MD5Hasher;
 });
 }
}
Sonra da config/app.php içerisinde mevcut HashServiceProvider'ı kaldırıp yeni oluşturduğumu koyarım
...
Illuminate\Foundation\Providers\FoundationServiceProvider::class,
// Illuminate\Hashing\HashServiceProvider::class,
App\Providers\MD5HashServiceProvider::class,
Illuminate\Mail\MailServiceProvider::class,
Illuminate\Notifications\NotificationServiceProvider::class,
...
Laravel'de kabaca işler bu şekilde yürümekte

Son olarak MD5Hasher içerisinde başarıyla giriş yapan kullanıcıları yeni bcrypt sistemine taşıyacak bir sistem kurarsanız daha iyi olur, zamanla hepsi bcrypt e geçmiş olur, sonra da MD5HashServiceProvider'ı kaldırıp tekrar HashServiceProvider'ı eklediniz mi kaldığınız yerden yeni sistemle devam edersiniz.

@mgsmus senin önerdiğin yöntem belki en olması gereken ideal olanıdır ancak ben o kadar detayı bilmediğim için böyle bir yöntem geliştirdim ve çalışıyor. Zaten paylaştığım kodlarda da görülebileceği üzere önce kullanıcı şifresi klasik laravel yöntemi ile password kolonunda kontrol ediliyor ve eğer o şifre hatalı ise o takdirde md5_password kolonuna bakıyor ve bu işlemler esnasında kullanıcının şifresi hemorjinali hemde hashlenmiş olanı BD ye yazılıyor.
Bir daha aynı kullanıcı geldiğinde md5 le işi olmuyor.
İlgilendiğiniz için çok teşekkür ederim, bu konudan ilerde mutlaka yararlanan olacaktır, çünkü laravel giderek yaygınlaşıyor ve eski yapıdan laravel e dönüş yapmak isteyenlerde bu sıkıntıyla karşılaşacak ve belki de buradaki yöntemler onlara yol gösterecek.

sergin

Orijinal dosyaları değiştirmek pek uygun olmaz. Bunun yerine bu problemi bir middleware ile çözmek daha iyi geliyor bana.
Bu, laravelin kendi auth middleware'inden önce çalışacak. Orijinal şifrenin veritabanında kayıt edilmesi de uygun değil. Bcript şifreler için ayrı alana da gerek yok. MD5lerin 32 karakter, Bcriptlerin 60 karakter olduğu ya da BCriptin diğer özellikleri ($2y$ ile başlaması gibi) dikkate alınarak bu middleware, şifre alanının md5'mi yoksa bcript ile mi şifreli olduğuna bakar, bcript ise işi biter,
md5 ise, girilen şifrenin doğru olup olmadığını md5'e göre kontrol eder. Eğer şifre doğru ise, şifre alanını bcript alanına göre update eder ve işi biter. Şifre yanlışsa yine bir şey yapmadan işi biter.

Laravel Türkiye Forumları, ücretsiz forum uygulaması Flarum ile yapılmıştır.