哈希
介绍
Laravel 的 Hash 外观 为存储用户密码提供了安全的 Bcrypt 和 Argon2 哈希。如果您使用的是 Laravel 应用程序入门套件 之一,Bcrypt 默认情况下将用于注册和身份验证。
Bcrypt 是哈希密码的绝佳选择,因为它可以调整“工作因子”,这意味着生成哈希所需的时间可以随着硬件能力的提高而增加。在哈希密码时,速度慢是好的。算法哈希密码所需的时间越长,恶意用户生成包含所有可能字符串哈希值的“彩虹表”所需的时间就越长,这些彩虹表可用于针对应用程序进行暴力攻击。
配置
默认情况下,Laravel 在哈希数据时使用 bcrypt 哈希驱动程序。但是,还支持其他几种哈希驱动程序,包括 argon 和 argon2id。
您可以使用 HASH_DRIVER 环境变量指定应用程序的哈希驱动程序。但是,如果您想自定义 Laravel 的所有哈希驱动程序选项,您应该使用 config:publish Artisan 命令发布完整的 hashing 配置文件
php artisan config:publish hashing基本用法
哈希密码
您可以通过在 Hash 外观上调用 make 方法来哈希密码
<?php namespace App\Http\Controllers; use Illuminate\Http\RedirectResponse;use Illuminate\Http\Request;use Illuminate\Support\Facades\Hash; class PasswordController extends Controller{ /** * Update the password for the user. */ public function update(Request $request): RedirectResponse { // Validate the new password length... $request->user()->fill([ 'password' => Hash::make($request->newPassword) ])->save(); return redirect('/profile'); }}调整 Bcrypt 工作因子
如果您使用的是 Bcrypt 算法,则 make 方法允许您使用 rounds 选项管理算法的工作因子;但是,Laravel 管理的默认工作因子对于大多数应用程序来说是可以接受的
$hashed = Hash::make('password', [ 'rounds' => 12,]);调整 Argon2 工作因子
如果您使用的是 Argon2 算法,则 make 方法允许您使用 memory、time 和 threads 选项管理算法的工作因子;但是,Laravel 管理的默认值对于大多数应用程序来说是可以接受的
$hashed = Hash::make('password', [ 'memory' => 1024, 'time' => 2, 'threads' => 2,]);有关这些选项的更多信息,请参阅 有关 Argon 哈希的官方 PHP 文档。
验证密码是否与哈希匹配
Hash 外观提供的 check 方法允许您验证给定的纯文本字符串是否与给定的哈希相对应
if (Hash::check('plain-text', $hashedPassword)) { // The passwords match...}确定密码是否需要重新哈希
Hash 外观提供的 needsRehash 方法允许您确定自密码哈希以来哈希器使用的工作因子是否已更改。某些应用程序选择在应用程序的身份验证过程中执行此检查
if (Hash::needsRehash($hashed)) { $hashed = Hash::make('plain-text');}哈希算法验证
为了防止哈希算法被篡改,Laravel 的 Hash::check 方法将首先验证给定的哈希是否使用应用程序选择的哈希算法生成。如果算法不同,将抛出 RuntimeException 异常。
这是大多数应用程序的预期行为,其中哈希算法预计不会更改,并且不同的算法可能是恶意攻击的迹象。但是,如果您需要在应用程序中支持多种哈希算法(例如,从一种算法迁移到另一种算法时),您可以通过将 HASH_VERIFY 环境变量设置为 false 来禁用哈希算法验证
HASH_VERIFY=false