Discuz登录验证流程详解：加密与安全策略

自己写discuz7登陆

以下是基于dz的认证，写一个相同的认证，实现论坛和我们的程序互通
可选方案：1，使用uc_client的接口 2，模拟bbs的登录，写个跟他一样的cookie
这里是采用的是第2个方案

1，dz7的用户名密码存放在uc_members表中,加密方式为：md5( md5( password) . $salt)
$salt 在uc_members表中的字段salt

2，dz的cookie中存放的password为members表中的password（生成方式未研究）

3，cookie中的存放的认证变量为：cookie_pre + auth，如：DTv_auth
其中DTv_在config.inc.php中定义：$cookiepre
加密的authkey存放在bbs/forumdata/cache/cache_settings.php中，数据库设置表也有这个值

4，自己的登录流程
4.1 获取用户提交的username,password
4.2 根据username从uc_members检索出uid,password,salt
4.3 比对密码是否正确, if ( $result['password'] == md5 ( md5( $password ) . $result['salt'] ) ) { 密码正确 } else {密码错误}
4.4 调用random函数(在include/global.func.php)，生成8位随机码为：$discuz_secques
4.5 更新members表的secques为discuz_secques
4.6 从members表中检索出密码字段为：$discuz_pw
4.7 生成加密字符串：
    $discuz_auth_key = md5( $authkey . $_SERVER['HTTP_USER_AGENT']);
    $auth = authcode("$discuz_pw\t$discuz_secques\t$discuz_uid", 'ENCODE', $discuz_auth_key);
4.8 设置cookie：DTv_auth = $auth
    setcookie( 'DTv_auth', $auth, $cookietime, $this->_config['bbscookie']['path'], $this->_config['bbscookie']['domain']);
    同时删除以下cookie键loginuser，activationauth，pmnum，sid，onlineusernum
    都是有前缀的：DTv_
    尤其要注意一定要删除DTv_sid这个，不然第二次登录就会失败