Bonjour, mes utilisateurs ont chacun un grain de sel généré aléatoirement, j'aurais voulu savoir s'il y avait un moyen d'incorporer des requêtes en base de données directement dans la fonction de hash de jAuth, ou faut-il le faire soi-même et donc faire en sorte que jAuth ne hash pas les mots de passe ?

J'utilise la version 1.6.2 de jelix.

Merci d'avance de votre aide.

Bonjour,

tout est indiqué dans la doc.

Bonjour, c'est après avoir relu maintes fois cette "documentation" que j'ai décidé de créer un compte et faire une demande sur le forum... Pourriez-vous me fournir un exemple ?

Je procède ainsi actuellement :

Un user a un champs salt (aléatoire) et le hash. Avant d'utiliser jAuth::login($user,$pass) je suis obligé de faire la requête à la main (select salt from user where email=...) et ensuite d'hasher le tout concaténé avec une classe utilitaire. Avec cette technique là, je suis obligé de commenter toute ces lignes

; name of the php function to crypt the password in the database
password_crypt_function = ""
; if you want to use a salt with sha1:
;password_crypt_function = "1:sha1WithSalt"
;password_salt = "here_your_salt"

Mon but est d'éviter ceci et "d'automatiser" tout ça, si je comprends bien d'après la doc il faudrait faire quelque chose comme :

[Db]
 dao = "mon_dao"
 password_crypt_function = "2:maFonction"
 ;password_salt = "votre_sel_ici"


function maFonction(array $tableau,$pass) {
    //requete sql pour le salt
    //hasher la réponse 
    //return le pass hashé ?
}

Pourriez-vous m'éclairer ? De plus, comment faire pour lui passer en paramètre l'id ou l'email ?

Merci d'avance.

Je vous propose d'abandonner cet ancien système de hash de jAuth au profit d'un plus sécurisé. SHA1, même avec du salt, ça devient bof niveau sécu.

Ce nouveau système repose sur la nouvelle API PHP, et c'est beaucoup plus sécure (avec sel random à chaque génération).