プロジェクト サイトを magento から django に移行しました。これは何百万ものユーザーがいるサイトです。私はサイトからすべてのデータを正常にインポートしましたが、私が抱えている主な問題は、特にパスワードを使用して顧客データベースを移行することです.djangoサイトの各顧客に新しいパスワードを与えることは明らかに時間がかかるため. また、顧客がパスワードをリセットすることは非常に苛立たしく、多くの顧客がサイトから失われます。
データベースからmagentoで顧客のパスワードを取得する方法を教えてください。
パスワードを復元することはできません。Magento は、ソルトを含むハッシュを使用してパスワードを保存します (エディションによると md5 および sha1)。
できることのみ - パスワードをリセットするか、magento で行われているのと同じパスワードをチェックする機能をサイトに実装します。
レガシー システムの古くて弱いハッシュを保持すると、ユーザーが危険にさらされます。
攻撃者 (または悪意のある管理者) がハッシュとユーザー データにアクセスした場合、それらを簡単にクラックし (例: http://hashcat.net/oclhashcat-plus/を参照)、ユーザーが使用しているサービスに対してグローバルに使用できます。 (もちろん、ユーザーはパスワードを再利用したり、強力なパスワードを使用したりすることはお勧めしませんが、多くの人はこれを知らないか無視します)。
弱いハッシュは、bcrypt、pbkdf2、shaXXX_crypt以外のものに関するものです。ランダムにソルトされた sha256 のようなものでさえ、弱いと見なす必要があります。
したがって、適切な手順は次のようになります。
注: レガシー システムにセキュリティ違反があった場合、古いハッシュを使用することはできません。パスワードが公開されることを考慮する必要があるからです。
一見すると、django が使用するパスワードを保存しているように見えmd5${salt}${hashed_password}、ソルトが先頭に追加されます。この場合、Magento のパスワードを取得し、文字列を再フォーマットして、django のパスワード チェックに合格できるようにする必要があります。
$hashArr = explode(':', $hash);
$newPasswordString = 'md5$'.$hashArr[1].'$'.$hashArr[0];
この回答の実行可能性/正確性は、Community / Professional または Enterprise のどちらを使用しているかによって異なります。コードはコミュニティ コードに基づいています。これは、より自由に共有できるためです。実装によっては、エンタープライズで同じことが可能である場合と不可能である場合があります。確認する必要がありますMage_Core_Model_Encryption:validateHash。
Cagsによる答えは私にとってはうまくいきます。Magento community edition 1.7 から Django-Oscar に移行しています。
移動するユーザーは数百人しかいませんが、パスワードをリセットすることはできませんでした。
便宜上...
彼のコードの python バージョン:
hash = xxxxxxxxxxxxxxxxx:xx # The hash from Magento DB table customer_entity_varchar
splithash = hash.split(':')
djangopass = 'md5$' + splithash[1] + '$' + splithash[0]
これは、クエストのガイドになる可能性があります。