[ Laravel 5.7 文档 ] 安全系列 —— 哈希

简介

Laravel 的 Hash 门面为存储用户密码提供了安全的 Bcrypt 和 Argon2 哈希算法。如果你正在使用 Laravel 应用自带的 LoginControllerRegisterController 控制器,它们将会自动在注册和认证时使用默认的 Bcrypt 算法。

注:Bcrypt 是散列密码的绝佳选择,因为其「工作因子」是可调整的,这意味着随着硬件功能的提升,生成哈希所花费的时间也会增加。

配置

应用默认的哈希驱动配置在配置文件 config/hashing.php 中,目前支持两个驱动:BcryptArgon2

注:Argon2i 驱动要求 PHP 7.2.0 或更高版本,Argon2id 驱动要求 PHP 7.3.0 或更高版本。

基本使用

可以调用 Hash 门面上的 make 方法对存储密码进行哈希:

<?php

namespace App\Http\Controllers;

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
use App\Http\Controllers\Controller;

class UpdatePasswordController extends Controller
{
    /**
     * 更新用户密码.
     *
     * @param  Request  $request
     * @return Response
     */
    public function update(Request $request)
    {
        // 验证新密码长度...

        $request->user()->fill([
            'password' => Hash::make($request->newPassword)
        ])->save();
    }
}

调整 Bcrypt 工作因子

如果你使用的是 Bcrypt 算法的话,make 方法允许你通过 rounds 选项管理算法的工作因子;不过,默认配置对大部分应用而言都是可接受的:

$hashed = Hash::make('password', [
    'rounds' => 12
]);

调整 Argon2 工作因子

如果你使用的是 Argon2 算法的话,make 方法允许你使用 memorytime 以及 threads 选项来管理算法的工作因子;不过,默认配置对大部分应用而言都是可接受的:

$hashed = Hash::make('password', [
    'memory' => 1024,
    'time' => 2,
    'threads' => 2,
]);

注:更多关于这些选项的信息,请查看 PHP 官方文档

通过哈希验证密码

check 方法允许你验证给定原生字符串和给定哈希是否相等,不过,如果你在使用 Laravel 自带的 LoginController(详见登录认证文档),就不需要再直接使用 check 方法,因为这个控制器自动调用了该方法:

if (Hash::check('plain-text', $hashedPassword)) {
    // 密码匹配...
}

检查密码是否需要被重新哈希

needsRehash 方法允许你判断哈希计算器使用的工作因子在上次密码被哈希后是否发生改变:

if (Hash::needsRehash($hashed)) {
    $hashed = Hash::make('plain-text');
}

注:想了解更多关于哈希算法的原理以及 Laravel 底层密码加密校验实现可参考这篇文章http://laravelacademy.org/post/4764.html

学院君 has written 1243 articles

Laravel学院院长,终身学习者

积分:167837 等级:P12 职业:手艺人 城市:杭州

3 条回复

  1. 学院君 学院君 says:
    @ weeb

    所以 不要纠结那个密码值在变了 正常 我以前也有一样的困惑 了解底层原理就明了了

  2. 学院君 学院君 says:

    通过 password_hash 生成的密码值包含四部分:

    password_hash

    Salt 部分每次都是自动生成的,所以每次生成的密码不一样,但是由于返回密码包含了算法、加盐、密码值所有信息,所以通过 password_verify 与原密码匹配的时候就可以正确匹配啦!

    注:password_hashpassword_verify 分别是 Hash:makeHash:check 实现时调用的底层 PHP 方法

  3. weeb weeb says:

    http://laravelacademy.org/post/4764.html 这个参考文字里面关于bcrypt函数 文档里面是:return app('hash')->make($value, $options); 5.7的是:return app('hash')->driver('bcrypt')->make($value, $options); 我在用这个加密的时候,相同的密码加密后,所得到的密码一直在变 请问这个是什么情况呀?

登录后才能进行评论,立即登录?