哈希

介绍

Laravel 的 Hash 【门面】提供了用于存储用户密码的安全 Bcrypt 和 Argon2 哈希算法。如果您使用的是 【Laravel 应用程序启动包】,默认情况下在注册和认证过程中将使用 Bcrypt。

Bcrypt 是哈希密码的一个很好的选择,因为它的“工作因子”是可调的,这意味着随着硬件性能的提高,生成哈希所需的时间可以增加。在哈希密码时,速度慢是好的。一个算法进行哈希操作的时间越长,恶意用户生成“彩虹表”来进行暴力破解攻击所需的时间就越长。

配置

默认情况下,Laravel 在哈希数据时使用 bcrypt 哈希驱动程序。然而,Laravel 还支持其它几种哈希驱动程序,包括 argonargon2id

您可以通过 HASH_DRIVER 环境变量指定应用程序的哈希驱动程序。如果您想自定义所有 Laravel 哈希驱动程序的选项,您应该使用 config:publish Artisan 命令发布完整的哈希配置文件:

php artisan config:publish hashing

基本使用

哈希密码

您可以通过调用 Hash 门面的 make 方法来哈希密码:

<?php

namespace App\Http\Controllers;

use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;

class PasswordController extends Controller
{
    /**
     * 更新用户密码。
     */
    public function update(Request $request): RedirectResponse
    {
        // 验证新密码的长度...

        $request->user()->fill([
            'password' => Hash::make($request->newPassword)
        ])->save();

        return redirect('/profile');
    }
}

调整 Bcrypt 的工作因子

如果您使用 Bcrypt 算法,make 方法允许您使用 rounds 选项来管理算法的工作因子;然而,Laravel 管理的默认工作因子对于大多数应用程序来说是可接受的:

$hashed = Hash::make('password', [
    'rounds' => 12,
]);

调整 Argon2 的工作因子

如果您使用 Argon2 算法,make 方法允许您使用 memorytimethreads 选项来管理算法的工作因子;然而,Laravel 管理的默认值对于大多数应用程序来说是可接受的:

$hashed = Hash::make('password', [
    'memory' => 1024,
    'time' => 2,
    'threads' => 2,
]);

有关这些选项的更多信息,请参考【官方的 PHP 文档】,了解 Argon 哈希算法的详细内容。

验证密码是否与哈希匹配

Hash 门面提供的 check 方法允许您验证给定的明文字符串是否与给定的哈希值相匹配:

if (Hash::check('plain-text', $hashedPassword)) {
    // 密码匹配...
}

确定密码是否需要重新哈希

Hash 门面提供的 needsRehash 方法允许您判断自密码被哈希以来,哈希器使用的工作因子是否发生了变化。一些应用程序选择在应用程序的认证过程中执行此检查:

if (Hash::needsRehash($hashed)) {
    $hashed = Hash::make('plain-text');
}

哈希算法验证

为了防止哈希算法的篡改,Laravel 的 Hash::check 方法会首先验证给定的哈希是否是使用应用程序选择的哈希算法生成的。如果算法不同,将会抛出 RuntimeException 异常。

对于大多数应用程序来说,这是预期的行为,因为哈希算法通常不会更改,不同的算法可能表明存在恶意攻击。然而,如果您需要在应用程序中支持多种哈希算法,例如在从一个算法迁移到另一个算法时,您可以通过将 HASH_VERIFY 环境变量设置为 false 来禁用哈希算法验证:

HASH_VERIFY=false