Wie melde ich mich programmgesteuert bei einem Benutzer an?

Ich suche nach der API, mit der ich einen Benutzer anmelden kann, indem ich ihm den Benutzernamen und das Kennwort übergebe. Hat jemand Erfahrung damit?

Zur Verdeutlichung versuche ich, ein AJAX-Anmeldefeld zu erstellen, das als Popup auf der Startseite angezeigt wird, und die Seite bei falschen Anmeldeinformationen nicht zu aktualisieren, sondern nur, wenn die Anmeldung korrekt ist. Also hier ist, was ich bisher gemacht habe:

Aktualisieren

Ich lade jetzt das Anmeldeformular auf meiner Homepage und starte bei der Übermittlung eine AJAX-Anfrage, die einen Berechtigungsnachweis für dieses Skript sendet:

function user_login_submit_try() {
  global $user;  

  $uid = user_authenticate($_POST['name'],$_POST['pass']);    
  $arr = array ('name'=>$_POST['name'],'pass'=>$_POST['pass']);
  if ($uid){
    $user = user_load($uid);
    user_login_finalize($arr);
  }

  echo drupal_json_encode($uid); 
  exit;
}; 

Bisher funktioniert es, aber meine Sorgen sind (wie von googletorp erwähnt) Sicherheitsprobleme. Es scheint, dass keine der in diesem Skript verwendeten APIs die Daten in irgendeiner Weise bereinigt hat.

Würde jemand einen besseren Weg sehen, dies zu tun?

Dies könnte jemandem helfen:

function mymodule_user_login_credentials($username, $password)
{
    if(user_authenticate($username, $password))
    {
      $user_obj = user_load_by_name($username);
      $form_state = array();
      $form_state['uid'] = $user_obj->uid;      
      user_login_submit(array(), $form_state);
      return true;
    }
    else
    {
        return false;
    }
}

Eine bessere Version basierend auf dem Kommentar:

function mymodule_user_login_credentials($username, $password)
{
    if($uid = user_authenticate($username, $password))
    {
      user_login_submit(array(), array('uid' => $uid));
      return true;
    }
    else
    {
        return false;
    }
}

Dafür gibt es keine einfache API-Funktion.

Sie können tun, was Drupal tut:

1. Testen Sie das Passwort, indem Sie die Datenbank abfragen. Siehe:

user_login_name_validate ()
user_login_authenticate_validate ()
user_login_final_validate ()

2. Überschreiben Sie die global $user.

   global $user;
   $user = user_load($uid);
   

3. Sitzungen abwickeln

user_login_finalize($form_state);

Für Schritt zwei und 3 siehe user_login_submit()

Alle diese Funktionen basieren auf dem Aufruf aus einem Formular. Der normale Ablauf besteht darin, dass die Validierungs-Handler die Benutzereingaben testen und die UID des Benutzers zurückgeben, wenn die Validierung erfolgreich ist. Der Submit-Handler übernimmt dann die eigentliche Anmeldung des Benutzers und des aufrufenden Benutzer-Hooks.

Wenn Sie das Benutzerobjekt für das Benutzerkonto abrufen müssen, für das Sie Benutzername und Kennwort kennen, können Sie den folgenden Code verwenden:

function mymodule_get_user(name, $password) {
  $account = FALSE;

  if ($uid = user_authenticate($name, $password)) {
    $account = user_load($uid);
  }

  return $account;
}

$accountWird angezeigt, FALSEwenn das Benutzerobjekt nicht gefunden oder geladen werden kann.

Sie sollten diesen Code verwenden, wenn Ihr Modul beispielsweise den Benutzernamen und das Kennwort als Eingabe von einem Benutzer erhält, überprüft, ob sie korrekt sind, und dann etwas mit dem Benutzerobjekt unternimmt.
Wenn Sie ein Modul schreiben, das die Identität eines Benutzers annehmen muss, um einen Kommentar zu verfassen, oder wenn Sie etwas anderes tun müssen, das als Ergebnis von einem Benutzer ausgeführt werden muss, führt das Modul Projekt-Fehlerverfolgung genau dies aus, wenn Sie einen Fehlerbericht schließen, der sich im befunden hat fester Status für zwei Wochen (in diesem Fall wird der Kommentar "Automatisch geschlossen - Problem für 2 Wochen ohne Aktivität behoben" hinzugefügt, der vom Benutzer "Systemmeldung" geschrieben wurde. Sie benötigen dann keinen Benutzernamen und kein Kennwort. Sie laden einfach das Benutzerobjekt, für das Sie die Benutzer-ID kennen.

Soweit ich weiß, gibt es keine Sicherheitsprobleme mit dem von mir gemeldeten Code.
Sie können die Anzahl der fehlgeschlagenen Anmeldungen begrenzen. oder um die IP vorübergehend zu blockieren, die versucht, sich ohne Erfolg anzumelden, oder versucht, sich in kurzer Zeit anders anzumelden.

Dieser Code funktioniert wirklich

//login
$uid = user_authenticate($username, $password);
global $user;
$user = user_load($uid);    
//login finalize
watchdog('remote_user', 'Session opened for %name.', array('%name' => $user->name));
$user->login = REQUEST_TIME;
db_update('users')
  ->fields(array('login' => $user->login))
  ->condition('uid', $user->uid)
  ->execute();
drupal_session_regenerate();

Aufgeräumte Antwort von oben. Die Überprüfung von Benutzer und Passwort ist eine zusätzliche Funktion. Außerdem muss der gefälschte form_state eine Variable sein, die als Referenz an die Funktion übergeben werden soll, oder es wird ein Fehler ausgegeben.

Daher haben wir:

function mymodule_log_in_by_uid($uid) {
    $faux_form_state = array('uid' => $uid);
    user_login_submit(array(), $faux_form_state);
}

Der Benutzer erhält die Sitzung und wird auch auf anderen Seiten angemeldet:

function custom_log_in_by_uid($uid) {
    $form_state = array('uid' => $uid);
    user_login_submit(array(), $form_state);
}

Manchmal müssen wir uns schnell über die URL anmelden oder das Administrator-Passwort vergessen. Implementieren Sie einfach die folgenden zwei Funktionen, um sich als Benutzer 1 in Drupal anzumelden.

function mymodule_menu(){
    $items['login/as/admin'] = array(
        'title' => 'Login as admin account',
        'page callback' => 'mymodule_login_as_admin',
        'access callback' => TRUE,
        'type' => MENU_CALLBACK,
    );
    return $items;
}
function mymodule_login_as_admin(){
    global $user;
    $user = user_load(1);
    return "Global user set as admin. Please refresh page ";
}