哈希
简介
Laravel 的 Hash
外观模式 提供了安全的 Bcrypt 和 Argon2 哈希,用于存储用户密码。如果您正在使用 Laravel 应用程序入门套件 之一,默认情况下注册和身份验证将使用 Bcrypt。
Bcrypt 是哈希密码的绝佳选择,因为它的“工作因子”是可调整的,这意味着随着硬件能力的提高,生成哈希所需的时间可以增加。在哈希密码时,速度慢是好事。算法哈希密码所需的时间越长,恶意用户生成可能用于对应用程序进行暴力攻击的所有可能的字符串哈希值“彩虹表”所需的时间就越长。
配置
默认情况下,Laravel 在哈希数据时使用 bcrypt
哈希驱动。但是,还支持其他几种哈希驱动,包括 argon
和 argon2id
。
您可以使用 HASH_DRIVER
环境变量指定应用程序的哈希驱动。但是,如果您想自定义 Laravel 的所有哈希驱动选项,您应该使用 config:publish
Artisan 命令发布完整的 hashing
配置文件
1php artisan config:publish hashing
基本用法
哈希密码
您可以通过调用 Hash
外观模式上的 make
方法来哈希密码
1<?php 2 3namespace App\Http\Controllers; 4 5use Illuminate\Http\RedirectResponse; 6use Illuminate\Http\Request; 7use Illuminate\Support\Facades\Hash; 8 9class PasswordController extends Controller10{11 /**12 * Update the password for the user.13 */14 public function update(Request $request): RedirectResponse15 {16 // Validate the new password length...17 18 $request->user()->fill([19 'password' => Hash::make($request->newPassword)20 ])->save();21 22 return redirect('/profile');23 }24}
调整 Bcrypt 工作因子
如果您正在使用 Bcrypt 算法,make
方法允许您使用 rounds
选项管理算法的工作因子;但是,Laravel 管理的默认工作因子对于大多数应用程序来说是可以接受的
1$hashed = Hash::make('password', [2 'rounds' => 12,3]);
调整 Argon2 工作因子
如果您正在使用 Argon2 算法,make
方法允许您使用 memory
、time
和 threads
选项管理算法的工作因子;但是,Laravel 管理的默认值对于大多数应用程序来说是可以接受的
1$hashed = Hash::make('password', [2 'memory' => 1024,3 'time' => 2,4 'threads' => 2,5]);
有关这些选项的更多信息,请参阅 有关 Argon 哈希的官方 PHP 文档。
验证密码是否与哈希匹配
Hash
外观模式提供的 check
方法允许您验证给定的纯文本字符串是否与给定的哈希对应
1if (Hash::check('plain-text', $hashedPassword)) {2 // The passwords match...3}
确定密码是否需要重新哈希
Hash
外观模式提供的 needsRehash
方法允许您确定自密码哈希以来,哈希器使用的工作因子是否已更改。某些应用程序选择在应用程序的身份验证过程中执行此检查
1if (Hash::needsRehash($hashed)) {2 $hashed = Hash::make('plain-text');3}
哈希算法验证
为了防止哈希算法被篡改,Laravel 的 Hash::check
方法将首先验证给定的哈希是否是使用应用程序选择的哈希算法生成的。如果算法不同,将抛出 RuntimeException
异常。
对于大多数应用程序来说,这是预期的行为,其中哈希算法预计不会更改,不同的算法可能表明存在恶意攻击。但是,如果您需要在应用程序中支持多种哈希算法,例如从一种算法迁移到另一种算法时,您可以通过将 HASH_VERIFY
环境变量设置为 false
来禁用哈希算法验证
1HASH_VERIFY=false