Passport-local: "Leere Zeichenfolge"-Passwort unterstützen?
Ich weiß nicht ob das Absicht ist
https://github.com/jaredhanson/passport-local/blob/master/lib/strategy.js#L72
Wenn ich versuche, mich mit JSON body { "username": "myuser", password: "" } zu authentifizieren, erhalte ich den späteren Fehler, weil "" || null, gibt null zurück.
jacargentina
Alle 7 Kommentare
Wäre auch eine Option, um leeres Passwort zuzulassen.
nikolaybobrovskiy
am 29. Nov. 2014
:+1: Es sollte der Anwendung überlassen bleiben, alle Arten von Passwörtern zu handhaben, die ein Benutzer weitergeben könnte, sei es eine 100-stellige Zeichenfolge oder nur eine "" (leere Zeichenfolge), finden Sie nicht?
GochoMugo
am 14. Juni 2015
Aus Sicherheitsgründen gilt ein leeres Kennwort als fehlende Anmeldeinformationen. Dies ist beabsichtigt und wird als Sicherheitsmerkmal angesehen.
jaredhanson
am 15. Aug. 2015
@jaredhanson würden Sie einen Pull-Request zulassen, bei dem allowEmptyPassword durch eine Option festgelegt wird? Diese Option ist (natürlich) standardmäßig auf false .
casperlamboo
am 26. Okt. 2017
Was wäre der Sinn dieser Option? Wenn das Passwort leer ist, ist keine Authentifizierung möglich. Warum sollte eine Bewerbung das zulassen?
von meinem Iphone gesendet
Am 26. Oktober 2017 um 4:07 Uhr schrieb Casper Lamboo [email protected] :
@jaredhanson würden Sie einen Pull-Request zulassen, bei dem allowEmptyPassword durch eine Option festgelegt wird. Diese Option ist (natürlich) standardmäßig auf false gesetzt.
—
Sie erhalten dies, weil Sie erwähnt wurden.
Antworten Sie direkt auf diese E-Mail, zeigen Sie sie auf GitHub an oder schalten Sie den Thread stumm.
jaredhanson
am 26. Okt. 2017
Dies würde die Anmeldung mit einem leeren String als Passwort ermöglichen. In einigen Fällen ist dies sehr nützlich. Ich verstehe, dass dies ein Sicherheitsrisiko ist, aber in meinem Fall überwiegen die Vorteile das Risiko, daher möchte ich in der Lage sein, die bewusste Entscheidung zu treffen, leere Zeichenfolgen als Passwörter bereitzustellen. Dies ist eindeutig eine Funktion, die von mindestens 4 Personen gewünscht wird.
Der Anwendungsfall, auf den ich mich beziehe, ist ein Admin-Panel, in dem Benutzerkonten erstellt werden können. Diese Benutzerkonten haben beim Erstellen eine leere Zeichenfolge als Kennwort. Bei der erstmaligen Anmeldung können Benutzer lediglich ihre E-Mail-Adresse als Zugangsdaten angeben. Nach der Anmeldung werden die Benutzer aufgefordert, ein sicheres Passwort anzugeben, das per E-Mail bestätigt werden muss.
casperlamboo
am 26. Okt. 2017
Dies ist keine Authentifizierung, daher akzeptiere ich keine PR mit dieser Funktionalität.
Es steht Ihnen frei, dieses Modul zu forken und die Funktionalität bei Bedarf zu implementieren und zu warten.
von meinem Iphone gesendet
Am 26. Oktober 2017 um 5:19 Uhr schrieb Casper Lamboo [email protected] :
Dies würde die Anmeldung mit einem leeren String als Passwort ermöglichen. In einigen Fällen ist dies sehr nützlich. Ich verstehe, dass dies ein Sicherheitsrisiko ist, aber in meinem Fall überwiegen die Vorteile das Risiko, daher möchte ich in der Lage sein, die bewusste Entscheidung zu treffen, leere Zeichenfolgen als Passwörter bereitzustellen. Dies ist eindeutig eine Funktion, die von mindestens 4 Personen gewünscht wird.
Der Anwendungsfall, auf den ich mich beziehe, ist ein Admin-Panel, in dem Benutzerkonten erstellt werden können. Diese Benutzerkonten haben kein Passwort. Bei der erstmaligen Anmeldung können Benutzer nur ihre E-Mail-Adresse angeben. Nach der Anmeldung werden die Benutzer aufgefordert, ein sicheres Passwort anzugeben, das per E-Mail bestätigt werden muss.
—
Sie erhalten dies, weil Sie erwähnt wurden.
Antworten Sie direkt auf diese E-Mail, zeigen Sie sie auf GitHub an oder schalten Sie den Thread stumm.
jaredhanson
am 26. Okt. 2017
Verwandte Themen
ghost
·
3Kommentare
jcyh0120
·
3Kommentare
JonathanSum
·
11Kommentare
EvHaus
·
25Kommentare
matiasfha
·
15Kommentare