哈希加密

简介

Laravel Hash facade 为存储用户密码提供了安全的 Bcrypt 和 Argon2 哈希加密方式。如果你在你的 Laravel 应用程序中使用了内置的 LoginControllerRegisterController 类,那么它们默认使用 Bcrypt 进行注册和身份认证。

{tip} Bcrypt 是哈希密码的理想选择,因为它的 「加密系数」 可以任意调整,这意味着生成哈希所需的时间可以随着硬件功率的增加而增加。

配置

你可以在 config/hashing.php 配置文件中配置默认哈希驱动程序。目前支持三种驱动程序: BcryptArgon2 (Argon2i and Argon2id variants)。

{note} Argon2i 驱动程序需要 PHP 7.2.0 或更高版本并且 Argon2id 驱动程序需要 PHP 7.3.0 或更高版本。

基本用法

你可以通过调用 Hash facade 的 make 方法来加密你的密码:

  1. <?php
  2. namespace App\Http\Controllers;
  3. use Illuminate\Http\Request;
  4. use Illuminate\Support\Facades\Hash;
  5. use App\Http\Controllers\Controller;
  6. class UpdatePasswordController extends Controller
  7. {
  8. /**
  9. * 更新用户密码。
  10. *
  11. * @param Request $request
  12. * @return Response
  13. */
  14. public function update(Request $request)
  15. {
  16. // 验证新的密码长度
  17. $request->user()->fill([
  18. 'password' => Hash::make($request->newPassword)
  19. ])->save();
  20. }
  21. }

调整 Bcrypt 加密系数

如果使用 Bcrypt 算法,你可以在 make 方法中使用 rounds 选项来管理该算法的加密系数。然而,对大多数应用程序来说,默认值就足够了:

  1. $hashed = Hash::make('password', [
  2. 'rounds' => 12
  3. ]);

调整 Argon2 加密系数

如果使用 Argon2 算法,你可以在 make 方法中使用 memorytimethreads 选项来管理该算法的加密系数。然而,对大多数应用程序来说,默认值就足够了:

  1. $hashed = Hash::make('password', [
  2. 'memory' => 1024,
  3. 'time' => 2,
  4. 'threads' => 2,
  5. ]);

{tip} 有关这些选项的更多信息,请查阅 PHP 官方文档.

密码哈希验证

check 方法能为你验证一段给定的未加密字符串与给定的哈希串是否一致。然而,如果你使用 Laravel 内置的 LoginController 控制器,你可能不需要直接使用这个方法,因为该控制器会自动调用这个方法:

  1. if (Hash::check('plain-text', $hashedPassword)) {
  2. // 密码匹配
  3. }

检查密码是否需要重新哈希

needsRehash 方法可以帮你确定当哈希的加密系数改变时,你的密码是否被新的加密系数重新加密过。

  1. if (Hash::needsRehash($hashed)) {
  2. $hashed = Hash::make('plain-text');
  3. }

本文章首发在 LearnKu.com 网站上。

本文中的所有译文仅用于学习和交流目的,转载请务必注明文章译者、出处、和本文链接 我们的翻译工作遵照 CC 协议,如果我们的工作有侵犯到您的权益,请及时联系我们。