Laravel5 認証の際、パスワードを平文（プレーンテキスト）でログインしたい。

タイトル通りですが、Laravel5 認証の際、パスワードを平文（プレーンテキスト）でログインしたいです。
どうしてハッシュ化しないのかと言うツッコミがありそうですが...顧客の熱い要望です。
（他システムとの連携のため平文で持つ必要があるとのことです。気が狂ってるとしか思えないですが。）

Laravelでどういう風に実装するのが良いかご意見いただけないでしょうか？
ググってもLaravelで平文でログインする良い事例が見当たらなかったもので...

パスワードの認証処理の箇所

php
1// vendor/laravel/framework/src/Illuminate/Auth/EloquentUserProvider
2    /**
3     * Validate a user against the given credentials.
4     *
5     * @param  \Illuminate\Contracts\Auth\Authenticatable  $user
6     * @param  array  $credentials
7     * @return bool
8     */
9    public function validateCredentials(UserContract $user, array $credentials)
10    {
11        $plain = $credentials['password'];
12
13        return $this->hasher->check($plain, $user->getAuthPassword());
14    }

多分、この部分でパスワードチェックしていると思いますが、どうカスタマイズしたものか悩んでいます。。

環境

PHP7.1
Laravel5.4
MySQL5.7

行動規範の内容に同意します

回答1件

ベストアンサー

他システムとの連携用であれば、Laravelは通常のログインする仕組みを使って、password_rawのようなカラムを追加してそこにユーザー作成時やパスワード変更時に生のpassword値を保存しておくという形でも解決できるかもしれません。

投稿2017/09/10 09:16

aro10

総合スコア4106

ucan-lab

2017/09/10 09:22 編集

回答ありがとうございます！そうですね、質問投稿してから自分もその方法思いつきました。。 `password_raw` のような平文カラムを追加して保持するようにしようと思います。自システムの認証であればハッシュ化されたパスワードで認証されるのでセキュリティ的にも多少はマシなのかなと思います。

aro10

2017/09/10 09:24 編集

その場合は、不用意に表示されないようにEloquentのhidden属性にpasswordのraw値の物も設定しておく必要があります。 [Laravel 5.5 Eloquent：シリアライズ ](https://readouble.com/laravel/5.5/ja/eloquent-serialization.html) あとLaravelの可逆式の暗号化も利用して保存すると少しマシかもしれません、 [Laravel 5.5 暗号化](https://readouble.com/laravel/5.5/ja/encryption.html)

ucan-lab

2017/09/10 09:24

なるほど！可逆式暗号化の件、良いですね！すごく参考になります！その方向でやってみようと思います。

行動規範の内容に同意します