暗号化の回避方法

AuthComponentのソースを追ってみたところ、独自の暗号化処理を組み込める仕組みが用意されていました。

AuthComponentのauthenticateプロパティに、hashPasswordsというメソッドを持つオブジェクトをセットすれば、暗号化の処理をセットしたオブジェクトのhashPasswordsメソッドが行うようになっています。

なので、このauthenticateプロパティに暗号化を行わないようにするオブジェクトをセットすればよいということになります。

ということで、サンプル

以下のサンプルは、独自のコンポーネント（NoHashComponent）をauthenticateプロパティにセットする方法です。

独自のコンポーネントといっても、何もせずにパスワードをそのまま返すだけのコンポーネントですが。。。

【app/controllers/app_controller.php】

<?php
class AppController extends Controller {
	
    // コンポーネントを読み込む
    var $components = array('Session', 'Auth', 'NoHash');

    function beforeFilter(){
        if (isset($this->Auth)) {
            $this->Auth->authenticate = $this->NoHash;
            //以下、その他のAuthComponentの設定など
        }
    }
	
}
?>

【app/controllers/components/no_hash.php】

<?php
class NoHashComponent extends Object {
    /**
     * 暗号化しないでそのまま返す
     */
    function hashPasswords($data){
        return $data;
    }
}
?>

これで、ユーザ登録時やログイン認証時にパスワードが暗号化されなくなります。

まとめ

パスワードはセキュリティのためにも暗号化した方が良いことは言うまでもありませんが、デバッグ環境ではパスワードを暗号化しない方が作業効率が良い場合もあるかと思います。（テーブルを直接覗けばパスワードもそのまま見えるので。）

そんな時に、上記の設定をデバッグレベルによって振り分ける（暗号化する／しない）のもアリかな？と思ったエントリーでした。