雜湊
簡介
Laravel 的 Hash facade 提供安全的 Bcrypt 和 Argon2 雜湊功能,用於儲存使用者密碼。如果您正在使用其中一個 Laravel 應用程式入門套件,則預設會使用 Bcrypt 進行註冊和身份驗證。
Bcrypt 是雜湊密碼的絕佳選擇,因為它的「工作因子」是可調整的,這表示隨著硬體效能的提高,產生雜湊值所需的時間可以增加。當雜湊密碼時,速度慢是好事。演算法雜湊密碼所需的時間越長,惡意使用者產生可能用於針對應用程式進行暴力攻擊的所有可能字串雜湊值的「彩虹表」的時間就越長。
配置
預設情況下,Laravel 在雜湊資料時使用 bcrypt 雜湊驅動程式。但是,支援其他幾種雜湊驅動程式,包括 argon 和 argon2id。
您可以使用 HASH_DRIVER 環境變數指定應用程式的雜湊驅動程式。但是,如果您想自訂 Laravel 的所有雜湊驅動程式選項,則應使用 config:publish Artisan 命令發佈完整的 hashing 配置檔案。
php artisan config:publish hashing基本用法
雜湊密碼
您可以呼叫 Hash facade 的 make 方法來雜湊密碼。
<?php namespace App\Http\Controllers; use Illuminate\Http\RedirectResponse;use Illuminate\Http\Request;use Illuminate\Support\Facades\Hash; class PasswordController extends Controller{ /** * Update the password for the user. */ public function update(Request $request): RedirectResponse { // Validate the new password length... $request->user()->fill([ 'password' => Hash::make($request->newPassword) ])->save(); return redirect('/profile'); }}調整 Bcrypt 工作因子
如果您使用 Bcrypt 演算法,則 make 方法允許您使用 rounds 選項管理演算法的工作因子;但是,Laravel 管理的預設工作因子對於大多數應用程式來說是可以接受的。
$hashed = Hash::make('password', [ 'rounds' => 12,]);調整 Argon2 工作因子
如果您使用 Argon2 演算法,則 make 方法允許您使用 memory、time 和 threads 選項管理演算法的工作因子;但是,Laravel 管理的預設值對於大多數應用程式來說是可以接受的。
$hashed = Hash::make('password', [ 'memory' => 1024, 'time' => 2, 'threads' => 2,]);有關這些選項的詳細資訊,請參閱關於 Argon 雜湊的官方 PHP 文件。
驗證密碼是否與雜湊值相符
Hash facade 提供的 check 方法允許您驗證給定的純文字字串是否對應於給定的雜湊值。
if (Hash::check('plain-text', $hashedPassword)) { // The passwords match...}判斷是否需要重新雜湊密碼
Hash facade 提供的 needsRehash 方法允許您判斷自密碼雜湊以來,雜湊器使用的工作因子是否已變更。某些應用程式選擇在應用程式的身份驗證過程中執行此檢查。
if (Hash::needsRehash($hashed)) { $hashed = Hash::make('plain-text');}雜湊演算法驗證
為了防止雜湊演算法遭到竄改,Laravel 的 Hash::check 方法會先驗證給定的雜湊值是否是使用應用程式選定的雜湊演算法產生的。如果演算法不同,則會擲回 RuntimeException 例外狀況。
這是大多數應用程式的預期行為,其中雜湊演算法預計不會變更,而不同的演算法可能表示存在惡意攻擊。但是,如果您需要在應用程式中支援多個雜湊演算法,例如從一個演算法遷移到另一個演算法時,您可以將 HASH_VERIFY 環境變數設定為 false 來停用雜湊演算法驗證。
HASH_VERIFY=false