Importing Users Without Password Resets
పాస్వర్డ్ రీసెట్లు లేకుండా వినియోగదారులను ఇంపోర్ట్ చేయడం
ఐడెంటిటీ మైగ్రేషన్ గైడ్లు ఎప్పుడూ ఒకే విషయాన్ని చెబుతుంటాయి. వినియోగదారులు తమ పాస్వర్డ్లను రీసెట్ చేయాలని అవి చెబుతాయి. ఇది నియమం కాదు. ఇది ఒక ఎంపిక మాత్రమే. చాలా టూల్స్ సరైన మార్గానికి బదులుగా సులభమైన మార్గాన్ని ఎంచుకుంటాయి.
మీరు రీసెట్ చేయకుండానే వినియోగదారులను మైగ్రేట్ చేయవచ్చు. మీరు కేవలం ఉన్న పాస్వర్డ్ హాష్లను (password hashes) వెరిఫై చేస్తే సరిపోతుంది. మీ వద్ద పాత హాష్లు ఉండి, మీ కొత్త సిస్టమ్ వాటిని చదవగలిగితే, ఈ మార్పు వినియోగదారులకు తెలియకుండానే జరుగుతుంది.
పాస్వర్డ్ హాష్ అనేది రహస్యం కాదు. Bcrypt అనేది bcrypt. అది దాని స్వంత salt మరియు cost factorను కలిగి ఉంటుంది. bcryptని ఉపయోగించే ఏ సిస్టమ్ అయినా దానిని వెరిఫై చేయగలదు. PBKDF2 కూడా అదే విధంగా పనిచేస్తుంది. మీ వద్ద హాష్ ఉంటే, అసలు పాస్వర్డ్ తెలియకపోయినా దానితో పాస్వర్డ్ను సరిచూడవచ్చు.
సమయాన్ని ఆదా చేయడానికి lazy migrationని ఉపయోగించండి.
- పాత హాష్ను కొత్త సిస్టమ్కు తీసుకెళ్లండి.
- వినియోగదారు లాగిన్ అయినప్పుడు హాష్ను వెరిఫై చేయండి.
- వెంటనే దానిని కొత్త ఫార్మాట్తో భర్తీ చేయండి.
కొన్ని వారాల్లోనే, మీ డేటాబేస్ తనంతట తాను అప్డేట్ అవుతుంది. మీకు ఒక్క పాస్వర్డ్ రీసెట్ ఈమెయిల్ లేదా సపోర్ట్ టికెట్ కూడా రాదు.
వివిధ వనరులు వేర్వేరు ఫార్మాట్లను అందిస్తాయి.
Self-hosted Duende లేదా ASP.NET Identity: ఇవి V3 PBKDF2 లేదా bcryptని ఉపయోగిస్తాయి. కొత్త సిస్టమ్ వీటిని సులభంగా వెరిఫై చేసి, rehash చేయగలదు. ఇది ఒక క్లీన్ ప్రాసెస్.
Auth0: ఇవి bcryptని ఉపయోగిస్తాయి. మీరు వాటిని నేరుగా ఇంపోర్ట్ చేయవచ్చు. అయితే, మీరు వాటిని స్టాండర్డ్ API ద్వారా పొందలేరు. భద్రతా కారణాల దృష్ట్యా Auth0 API ద్వారా హాష్లను తిరిగి ఇవ్వదు. మీరు వారి సపోర్ట్ టీమ్ నుండి బల్క్ ఎక్స్పోర్ట్ ఫైల్ను (bulk export file) కోరాలి. ఈ ఫైల్లో bcrypt హాష్లు ఉంటాయి. మైగ్రేషన్ వినియోగదారులకు తెలియకుండా ఉండటానికి ఈ ఫైల్ను ఉపయోగ
