今天朋友找我,说有一个论坛和网站,一年多前网站的制作者未曾实现Dicuz!NT同步功能,问题遗留至今。两年前我曾利用
DiscuzTookit开发包,实现网站和论坛登录同步、注册同步、修改资料同步、修改密码同步、注销登录同步等。今天看了他们的论坛,发现之前有过同步的痕迹,当时开发者,采用网站注册时,向论坛数据表插入记录的方式,目前,它只实现了注册同步。接下来,就简单些吧,也不想在现有的基础上大动干戈,于是想了下,接着之前他们未完成的部分,Go On!
首先,应该注意Cookie的跨域问题,这里就不做详细说明,我在其它博客里,发表过这样的问题,论坛跨域,我们需要在管理后台,设置下Cookie的域,如:原来:bbs.xxx.com,修改为: .xxx.com。这样在同一个主域名下,可以实现Cookie的跨域访问问题。我们在论坛后台 全局->常规选项->基本设置 中,做如下修改即可:
我们在登录论坛后,用浏览器查看Cookie信息,其中有一项Cookie名为dnt的,我们来查看下信息:
在这里,我们注意到,Cookie信息中,包括了用户id,用户加密过的密码和其它相关信息。这里我们主要探讨密码的加密方式。
Discuz!nt Cookie中密码的加密方式采用的是md5和des双重加密方式。对用户输入的密码进行md5加密不是什么难事,在这里我们需要注意的是,des的加密方式。des是Discuz!nt项目中Discuz.Common库中 Discuz.Common.DES类中的加密方法。而 密码利用Discuz.Common.DES加密时,采用的密码加密key,需要和配置文件中的信息保持一致。关于密码加密的key,我们可以在论坛根目录下config文件夹中general.config文件,其中有一个<Passwordkey>的配置节,我们就利用这个key,通过DES类中Encode方法对密码进行加密。我们来看看具体的代码:
Test case:
/// <summary>
/// 画面载入事件
/// </summary>
/// <param name="sender"></param>
/// <param name="e"></param>
protected void Page_Load(object sender, EventArgs e)
{
//密码加密Key位于/config目录的general.config文件。找到<Passwordkey>DFX00BDLBL</Passwordkey>
const string PASSWORD_KEY = "DFX00BDLBL";
//原始密码
string strPwd = "19900909asd";
//MD5加密后
string strMd5 = Discuz.Common.Utils.MD5(strPwd);
string strDES = Discuz.Common.DES.Encode(strMd5, PASSWORD_KEY).Replace("[", "+");
//Cookie userid=104659&password=Mk0SVJLRcwFo/z7KsQgB0hVRBCcJ9uOaPqX+cQEgm4sz/0UBgWxV5A==&tpp=0&ppp=0&pmsound=1&invisible=0&referer=index.aspx&sigstatus=1&expires=43200
string strCookie = "Mk0SVJLRcwFo/z7KsQgB0hVRBCcJ9uOaPqX+cQEgm4sz/0UBgWxV5A==";
if (strDES == strCookie)
{
Response.Write("OK!");
}
}
上面的代码引用了Discuz.Common类库中的方法。Discuz.Common.dll可以在bbs的bin目录中找到。 我们把刚才在Cookie中获取到的密码信息提取出来,与我们加密后的密码,进行比较。这样我们得出以下结论:
Discuz!nt中用户登录Cookie中密码的加密方式是先通过Md5加密后,再通过Discuz.Common.DES中的Encode方法结合
Passwordkey进行加密,从上面代码的运行结果我们可以看出,加密后的结果,和Cookie中的密码完全一致。