概要
EC-CUBEのユーザパスワードがどのように登録されているのか調べたのでメモしておきます。
なぜこんなことを調べたのかは詮索しないでいただけるとありがたいです。
パスワードの仕様
ユーザが指定したパスワードに「:%定数:AUTH_MAGIC%」したものをsha1()でハッシュ化したものがユーザのパスワードとして格納されています。
例えばパスワードが「hoge」、定数:AUTH_MAGICが「abcdefghijkllmnopqrstuvwxyz」だったら、
$password = sha1("hoge:abcdefghijkllmnopqrstuvwxyz");
が格納されるパスワードというわけです。
定数:AUTH_MAGICはインストール時に自動的に生成されるでしょうから*1 たまたま同じ定数:AUTH_MAGICが設定されない限りユーザが同じパスワードを別のEC-CUBEを使ったショップで登録しても格納されるパスワードは違うものになります。
裏を返すと、別のサーバやディレクトリで複数のEC-CUBEを運用していても定数:AUTH_MAGICが同じであれば、パスワードも同じになるわけで、工夫次第では複数のショップで顧客マスタだけ共有することもできそうです。
以上、ご報告まで。
- 調べてないけど。ちなみに僕はシステムが生成したコードをそのまま使うのは気分的に嫌なので自分で設定しました。 [↩]
