介绍
Laravel 的 Hash 外观为存储用户密码提供了安全的 Bcrypt 和 Argon2 哈希。如果您正在使用 Laravel 应用程序启动工具包之一,默认情况下,Bcrypt 将用于注册和身份验证。
Bcrypt 是哈希密码的一个很好的选择,因为它的“工作因子”是可调节的,这意味着随着硬件性能的提高,可以增加生成哈希值所需的时间。在对密码进行哈希处理时,速度慢是好事。算法对密码进行哈希处理所需的时间越长,恶意用户生成可能用于对应用程序进行暴力攻击的所有可能字符串哈希值的“彩虹表”所需的时间就越长。
配置
默认情况下,Laravel 在对数据进行哈希处理时使用 bcrypt 哈希驱动程序。然而,还支持其他几种哈希驱动程序,包括 argon (opens in a new tab) 和 argon2id (opens in a new tab)。
您可以使用 HASH_DRIVER 环境变量指定应用程序的哈希驱动程序。但是,如果您想要自定义 Laravel 的所有哈希驱动程序选项,您应该使用 config:publish Artisan 命令发布完整的 hashing 配置文件:
php artisan config:publish hashing基本用法
密码哈希
您可以通过在 Hash 外观上调用 make 方法来对密码进行哈希处理:
<?php
namespace App\Http\Controllers;
use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
class PasswordController extends Controller
{
/**
* 更新用户的密码。
*/
public function update(Request $request): RedirectResponse
{
// 验证新密码的长度...
$request->user()->fill([
'password' => Hash::make($request->newPassword)
])->save();
return redirect('/profile');
}
}调整 Bcrypt 工作因子
如果您使用的是 Bcrypt 算法,make 方法允许您使用 rounds 选项来管理该算法的工作因子;然而,Laravel 管理的默认工作因子对于大多数应用程序是可以接受的:
$hashed = Hash::make('password', [
'rounds' => 12,
]);调整 Argon2 工作因子
如果您使用的是 Argon2 算法,make 方法允许您使用 memory(内存)、time(时间)和 threads(线程)选项来管理该算法的工作因子;然而,Laravel 管理的默认值对于大多数应用程序是可以接受的:
$hashed = Hash::make('password', [
'memory' => 1024,
'time' => 2,
'threads' => 2,
])。[!注意]
有关这些选项的更多信息,请参考 关于 Argon 哈希的官方 PHP 文档 (opens in a new tab)。
验证密码与哈希值是否匹配
Hash 外观提供的 check 方法允许您验证给定的明文字符串是否与给定的哈希值相对应:
if (Hash::check('明文', $已哈希密码)) {
// 密码匹配...
}确定密码是否需要重新哈希
Hash 外观提供的 needsRehash 方法允许您确定自密码被哈希以来,哈希器使用的工作因子是否已更改。一些应用程序选择在应用程序的身份验证过程中执行此检查:
if (Hash::needsRehash($已哈希值)) {
$已哈希值 = Hash::make('明文');
}哈希算法验证
为防止哈希算法被操纵,Laravel 的 Hash::check 方法将首先验证给定的哈希值是否是使用应用程序选择的哈希算法生成的。如果算法不同,将抛出 RuntimeException 异常。
对于大多数应用程序来说,这是预期的行为,因为哈希算法不应该更改,不同的算法可能表示存在恶意攻击。但是,如果您的应用程序需要支持多种哈希算法,例如从一种算法迁移到另一种算法时,您可以通过将 HASH_VERIFY 环境变量设置为 false 来禁用哈希算法验证:
HASH_VERIFY=false