Problemas con OpenId en Mapuche: clave incorrecta

system · 8 Enero, 2015 16:40

Hola, como va?

Otra vez molestando… esta vez OpenId en Mapuche.
Necesitaría sacarme algunas dudas acerca de OpenId.

En un principio les comento que me estoy amigando con el foro (asique perdonden si estoy creando entradas done no debo o algo así) y lei lo que encontre acerca del tema tanto como las notas de Toba. Me sirvió lo de la gente de Cordoba pero tengo muchas dudas.

Por ejemplo, usando google:
si pongo en openid.ini

campo_usuario = nombre

y ya tengo creado mi usuario 'Lucas ’ en toba (y su contraseña que supongo que no interesa), al loguearme en google me devuelve a la pantalla de login y muestra un alert con el mensaje:

La combinación usuario/clave es incorrecta

y el log de Mapuche (sistema.log) me dice:

[ERROR][toba] El usuario 'Lucas' ingreso una clave incorrecta

No se si sirve de algo pero si imprimo lo que viene como $clave en la función autenticar de toba_autenticacion_openid.php me muestra:

https://www.google.com/accounts/o8/id?id=AItOawleH_GRWmqRTrTobm5v77pu2jQoIi3kSvchttps://www.google.com/accounts/o8/id

richard · 12 Enero, 2015 15:54

Hola Lucas,

te hago una consulta sobre el archivo openid.ini, como esta el flag crear_usuario?.

Por otro lado, el usuario OpenId incluye el provider… no es lo mismo Lucas@yahoo, que Lucas@gmail… son dos usuarios diferentes, asi que aunque tengas un usuario Lucas en la instancia, ese usuario no sirve para nada en este caso.

Por otra parte, la clave que pones vos en el form… la utiliza el provider para verificar quien sos… toba no usa esa clave, sino el identity que devuelve el provider… al final termina siendo una mera formalidad pero sirve para verificar de paso que existe tu usuario.

Mapuche tiene alguna subclase propia para la autenticacion de usuarios?.. esto seria una subclase de toba_usuario_basico… quizas ahi este el meollo de la cuestion, aunque si se respetan los metodos de hasheo no deberia haber inconvenientes.

Saludos

system · 13 Enero, 2015 17:20

Hola Richard, gracias por responder.

te hago una consulta sobre el archivo openid.ini, como esta el flag crear_usuario?.

Los campos de crear usuarios no los estaba teniendo en cuenta, los deje comentados. ¿Como debería quedar si no quiero que cree usuarios? ¿En '0' o simplemente no incluir esos atributos?


;crear_usuario = 1
;crear_usuario_proyecto = toba_referencia
;crear_usuario_perfil_funcional = Usuario

el usuario OpenId incluye el provider.. no es lo mismo Lucas@yahoo, que Lucas@gmail..

¿Debe existir el usuario que me ejemplificas (lucas@gmail...) en [i]toba_usuarios[/i] o simplemente el [b]identificador [/b]que me retorna el provider? (el [i]campo_usuario[/i]; en mi ejemplo el nombre: Lucas) --> Este campo lo verifique y llega bien al Mapuche.

toba no usa esa clave, sino el identity que devuelve el provider..

;)

Mapuche tiene alguna subclase propia para la autenticacion de usuarios?

NO una subclase pero tenemos la clase [url=https://repositorio.siu.edu.ar/svn/mapuche/trunk/php/modelos/negocio/usuarios/usuario.php]usuarios[/url] que hace uso de la misma. Ademas, esta clase se usa para actualizar información del usuario pero no esta incluida en Mapuche producción.

Si ves algo para corregir te agradeceria que lo comentaras.
Saludos.

richard · 14 Enero, 2015 15:45

Hola Lucas,

lmichiels post:3:

Los campos de crear usuarios no los estaba teniendo en cuenta, los deje comentados. ¿Como debería quedar si no quiero que cree usuarios? ¿En ‘0’ o simplemente no incluir esos atributos?
;crear_usuario = 1
;crear_usuario_proyecto = toba_referencia
;crear_usuario_perfil_funcional = Usuario

Si no queres que te cree el usuario pone el primero en cero y listo, tene en cuenta que en ese caso tenes que encargarte de que el usuario y clave correctas esten en la base de toba, sino no te vas a poder loguear por mas que el server de OpenId te habilite.

¿Debe existir el usuario que me ejemplificas (lucas@gmail...) en [i]toba_usuarios[/i] o simplemente el [b]identificador [/b]que me retorna el provider? (el [i]campo_usuario[/i]; en mi ejemplo el nombre: Lucas) --> Este campo lo verifique y llega bien al Mapuche.

Debe existir el valor del campo que vos seteaste como campo_usuario en openid.ini, por defecto va con ‘email’ si lo cambiaste a otro campo, entonces es el valor de ese otro campo.

NO una subclase pero tenemos la clase [url=https://repositorio.siu.edu.ar/svn/mapuche/trunk/php/modelos/negocio/usuarios/usuario.php]usuarios[/url] que hace uso de la misma. Ademas, esta clase se usa para actualizar información del usuario pero no esta incluida en Mapuche producción.

Si no participa de la autenticacion entonces no afecta, no entendi muy bien lo de “se usa para actualizar información del usuario pero no esta incluida en Mapuche producción”… si no esta en produccion, quien lo usa?.

Saludos

system · 20 Enero, 2015 14:10

Hola.
No hay caso.
Al parecer está comparando las claves de apex_usuario y el identificador de OpenId en toba_usuario_basico::autenticar():

if( !($datos_usuario['clave'] === $clave) ) {
...

¿Esta bien que llegue ahí? Porque no debería comparar claves, verdad?

Por las dudas voy a aclarar que nosotros tenemos la revisión 6423 de Toba. No se si se hizo algún cambio.

Pongo el openid.ini si ayuda.


[basicos]
permite_login_toba = 1						;Permite loguearse usando la table apex_usuario de la base de toba
crear_usuario = 0							;Crear usuario automaticamente al loguearse por primera vez
crear_usuario_proyecto = toba_mapuche		;Solo crear usuarios al loguearse por primera vez en este proyecto
crear_usuario_perfil_funcional = Administrador	;Perfil funcional del proyecto
campo_usuario = email						;Que campo
campo_nombre = "nombre apellido"				

;;;;;;;;;; CAMPOS ;;;;;;;;;;;;;;;;

[campo_email]
atributo = EMAIL
requerido = 1

[campo_nombre]
atributo = FIRSTNAME
requerido = 1

[campo_apellido]
atributo = LASTNAME
requerido = 1

;[campo_cuil]
;atributo = NAMESUFFIX
;requerido = 1

;[campo_legajo]
;atributo = NAMEPREFIX
;requerido = 0

;;;;;;;;;; PROVIDERS ;;;;;;;;;;;;;;;;

;[provider_unc]
;nombre = Comdoc UNC
;url = http://openid-dev.unc.edu.ar:8080/openaselect/profiles/openid/

[provider_google]
nombre = Google
url = https://www.google.com/accounts/o8/id

;[provider_otro]
;nombre = Otro
;url = http://
;personalizable = 1

Gracias.
Saludos.

richard · 26 Enero, 2015 16:01

Hola Lucas,

lmichiels post:5:

No hay caso.
Al parecer está comparando las claves de apex_usuario y el identificador de OpenId en toba_usuario_basico::autenticar():
if( !($datos_usuario['clave'] === $clave) ) {
...
¿Esta bien que llegue ahí? Porque no debería comparar claves, verdad?

Por otra parte, la clave que pones vos en el form.. la utiliza el provider para verificar quien sos.. toba no usa esa clave, sino el identity que devuelve el provider.. al final termina siendo una mera formalidad pero sirve para verificar de paso que existe tu usuario.

En realidad si y no, la comparacion se hace como parte del proceso de login interno de toba y sirve mayormente para verificar que el usuario existe en la instancia de toba. Ese proceso de login termina pasando por la autenticacion de toba_usuario_basico, que compara la clave… en tu caso el problema me parece que es que tu usuario ya existia de antes de pasar a OpenId, por lo que esta intentando comparar la clave vieja contra el identity que provee el servidor.

Por las dudas voy a aclarar que nosotros tenemos la revisión 6423 de Toba. No se si se hizo algún cambio.

Si hubo, de hecho salio la version 2.6.2 la semana pasada.

Saludos