哈希

• 介绍
• 设置
• 基础用法
  • 哈希密码
  • 验证密码是否匹配哈希值
  • 确定密码是否需要重新哈希
• 哈希算法验证

介绍

Laravel 的 Hash 门面（facade） 提供了安全的 Bcrypt 和 Argon2 哈希算法用于存储用户密码。如果你正在使用 Laravel 应用起步套件 之一，默认情况下将使用 Bcrypt 进行注册和身份验证。

Bcrypt 是一种很好的密码哈希选择，因为它的 「work factor」 是可调的，这意味着随着硬件性能的提升，生成哈希所需的时间也随之增加。在哈希密码时，速度较慢是有益的。算法花费更长时间来哈希密码，这意味着恶意用户用于针对应用程序的暴力攻击所生成所有可能的字符串哈希值的「彩虹表（rainbow tables）」所需的时间更长。

设置

默认情况下，Laravel 在哈希数据时使用 bcrypt 哈希驱动程序。但是，Laravel 还支持多种其他哈希驱动程序，包括 argon 和 argon2id 。

你可以使用 HASH_DRIVER 环境变量来指定应用程序的哈希驱动程序。但是，如果你想要自定义所有 Laravel 的哈希驱动选项，你应该使用 config:publish Artisan 命令来发布完整的 hashing 配置文件：

php artisan config:publish hashing

基础用法

哈希密码

你可以通过在 Hash 门面（facade）上调用 make 方法来对密码进行哈希处理：

<?php

namespace App\Http\Controllers;

use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;

class PasswordController extends Controller
{
    /**
     * 为用户更新密码
     */
    public function update(Request $request): RedirectResponse
    {
        // 校验新密码长度...

        $request->user()->fill([
            'password' => Hash::make($request->newPassword)
        ])->save();

        return redirect('/profile');
    }
}

调整 Bcrypt 的工作因子

如果你正在使用 Bcrypt 算法，make 方法允许你使用 rounds 选项来管理算法的工作因子（work factor ）；然而，默认情况下 Laravel 管理的工作因子对大多数应用程序来说都是可以接受和适用的：

$hashed = Hash::make('password', [
    'rounds' => 12,
]);

调整 Argon2 的工作因子

如果你正在使用 Argon2 算法，make 方法允许你使用 memory、time 和 threads 选项来管理算法的工作因子（work factor ）；然而，默认情况下 Laravel 管理的这些默认值对大多数应用程序来说也是可以接受和适用的：

$hashed = Hash::make('password', [
    'memory' => 1024,
    'time' => 2,
    'threads' => 2,
]);

[!NOTE]
有关这些选项的更多信息，请参考 官方 PHP 文档关于 Argon 哈希的内容.

验证密码是否匹配哈希值

Hash 门面（facade）提供的 check 方法允许你验证给定的明文字符串是否对应于给定的哈希值：

if (Hash::check('plain-text', $hashedPassword)) {
    // 密码匹配...
}

确定密码是否需要重新哈希

Hash 门面（facade）提供的 needsRehash 方法允许你确定自从密码被哈希后，哈希器使用的工作因子（work factor）是否发生了变化。一些应用会选择在认证过程中执行此检查：

if (Hash::needsRehash($hashed)) {
    $hashed = Hash::make('plain-text');
}

哈希算法验证

为防止哈希算法被篡改，Laravel 的 Hash::check 方法会首先验证给定的哈希是否是使用应用程序选择的哈希算法生成的。如果算法不同，将会抛出 RuntimeException 异常。

大多数应用不希望哈希算法发生变化，因为出现不同的算法可能表明存在恶意攻击，这是大多数应用的一种预防机制。然而，如果你需要在应用程序内支持多种哈希算法，例如在从一种算法迁移至另一种算法时，你可以通过将 HASH_VERIFY 环境变量设置为 false 来禁用哈希算法的验证：

HASH_VERIFY=false

---

原文地址：cndocs/11.x/ha...

译文地址：cndocs/11.x/ha...