Appearance
哈希 Hashing
介绍
Laravel Hashfacade提供安全的 Bcrypt 和 Argon2 哈希来存储用户密码。如果您使用的是 Laravel 应用程序初学者工具包之一,则默认情况下将使用 Bcrypt 进行注册和身份验证。
Bcrypt 是哈希密码的绝佳选择,因为它的“工作因子”是可调的,这意味着生成哈希所需的时间可以随着硬件能力的增加而增加。在对密码进行哈希处理时,慢是好的。算法对密码进行哈希处理所需的时间越长,恶意用户生成所有可能的字符串哈希值的“彩虹表”所需的时间就越长,这些值可能用于对应用程序的暴力攻击。
配置
默认情况下,Laravel 在对数据进行哈希处理时使用 bcrypt 哈希驱动程序。但是,支持其他几个哈希驱动程序,包括 argon 和 argon2id。
您可以使用 HASH_DRIVER 环境变量指定应用程序的哈希驱动程序。但是,如果你想自定义 Laravel 的所有哈希驱动程序选项,你应该使用 config:publish Artisan 命令发布完整的哈希配置文件:
bash
php artisan config:publish hashing基本用法
哈希密码
你可以通过在 Hash Facade 上调用 make 方法来对密码进行哈希处理:
php
<?php
namespace App\Http\Controllers;
use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
class PasswordController extends Controller
{
/**
* 更新用户的密码
*/
public function update(Request $request): RedirectResponse
{
// 验证新密码长度...
$request->user()->fill([
'password' => Hash::make($request->newPassword)
])->save();
return redirect('/profile');
}
}调整 Bcrypt 工作系数
如果您使用的是 Bcrypt 算法,则 make 方法允许您使用 rounds 选项管理算法的工作因子;但是,由 Laravel 管理的默认工作系数对于大多数应用程序来说是可以接受的:
php
$hashed = Hash::make('password', [
'rounds' => 12,
]);调整 Argon2 工作系数
如果您使用的是 Argon2 算法,则 make 方法允许您使用 memory、time 和 threads 选项管理算法的工作因子;但是,由 Laravel 管理的默认值对于大多数应用程序都是可以接受的:
php
$hashed = Hash::make('password', [
'memory' => 1024,
'time' => 2,
'threads' => 2,
]);NOTE
有关这些选项的更多信息,请参阅有关 Argon 哈希的官方 PHP 文档。
验证密码是否与哈希匹配
Hash Facade提供的 check 方法允许您验证给定的纯文本字符串是否对应于给定的哈希:
php
if (Hash::check('plain-text', $hashedPassword)) {
// The passwords match...
}确定是否需要对密码进行重新哈希
Hash facade 提供的 needsRehash 方法允许您确定自对密码进行哈希处理后,哈希器使用的工作因子是否发生了变化。某些应用程序选择在应用程序的身份验证过程中执行此检查:
php
if (Hash::needsRehash($hashed)) {
$hashed = Hash::make('plain-text');
}哈希算法验证
为了防止哈希算法操纵,Laravel 的 Hash::check 方法将首先验证给定的哈希是使用应用程序选择的哈希算法生成的。如果算法不同,将引发 RuntimeException 异常。
这是大多数应用程序的预期行为,其中哈希算法预计不会更改,并且不同的算法可能表明存在恶意攻击。但是,如果您需要在应用程序中支持多种哈希算法,例如从一种算法迁移到另一种算法时,您可以通过将 HASH_VERIFY 环境变量设置为 false 来禁用哈希算法验证:
ini
HASH_VERIFY=false