哈希
介绍
Laravel 的 Hash facade 提供了安全的 Bcrypt 和 Argon2 哈希,用于存储用户密码。如果您使用的是 Laravel 应用程序入门套件之一,默认情况下将使用 Bcrypt 进行注册和身份验证。
Bcrypt 是哈希密码的绝佳选择,因为它的“工作因子”是可调的,这意味着生成哈希所需的时间可以随着硬件能力的提高而增加。在哈希密码时,慢是好的。算法生成哈希所需的时间越长,恶意用户生成所有可能字符串哈希值的“彩虹表”以对应用程序进行暴力攻击所需的时间就越长。
配置
应用程序的默认哈希驱动程序在应用程序的 config/hashing.php 配置文件中配置。目前支持的驱动程序有:Bcrypt 和 Argon2(Argon2i 和 Argon2id 变体)。
Argon2i 驱动程序需要 PHP 7.2.0 或更高版本,Argon2id 驱动程序需要 PHP 7.3.0 或更高版本。
基本用法
哈希密码
您可以通过调用 Hash facade 的 make 方法来哈希密码:
<?php
namespace App\Http\Controllers;
use App\Http\Controllers\Controller;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
class PasswordController extends Controller
{
/**
* 更新用户的密码。
*
* @param \Illuminate\Http\Request $request
* @return \Illuminate\Http\Response
*/
public function update(Request $request)
{
// 验证新密码长度...
$request->user()->fill([
'password' => Hash::make($request->newPassword)
])->save();
}
}调整 Bcrypt 工作因子
如果您使用的是 Bcrypt 算法,make 方法允许您使用 rounds 选项管理算法的工作因子;然而,Laravel 管理的默认工作因子对于大多数应用程序是可以接受的:
$hashed = Hash::make('password', [
'rounds' => 12,
]);调整 Argon2 工作因子
如果您使用的是 Argon2 算法,make 方法允许您使用 memory、time 和 threads 选项管理算法的工作因子;然而,Laravel 管理的默认值对于大多数应用程序是可以接受的:
$hashed = Hash::make('password', [
'memory' => 1024,
'time' => 2,
'threads' => 2,
]);有关这些选项的更多信息,请参阅 PHP 官方文档关于 Argon 哈希。
验证密码是否与哈希匹配
Hash facade 提供的 check 方法允许您验证给定的明文字符串是否与给定的哈希对应:
if (Hash::check('plain-text', $hashedPassword)) {
// 密码匹配...
}确定密码是否需要重新哈希
Hash facade 提供的 needsRehash 方法允许您确定自密码被哈希以来,哈希器使用的工作因子是否已更改。一些应用程序选择在应用程序的身份验证过程中执行此检查:
if (Hash::needsRehash($hashed)) {
$hashed = Hash::make('plain-text');
}