哈希

简介

Laravel 的 Hash facade 提供了安全的 Bcrypt 和 Argon2 哈希用于存储用户密码。如果你使用的是 Laravel 应用程序入门套件，默认将使用 Bcrypt 进行注册和认证。

Bcrypt 是哈希密码的绝佳选择，因为它的“工作因子”是可调节的，这意味着生成哈希所需的时间可以随着硬件性能的提高而增加。在哈希密码时，慢是好事。算法哈希密码所花的时间越长，恶意用户生成可能用于暴力攻击应用程序的所有可能字符串哈希值的“彩虹表”所需的时间就越长。

配置

默认情况下，Laravel 在哈希数据时使用 bcrypt 哈希驱动。但是，还支持其他几种哈希驱动，包括 argon 和 argon2id。

你可以使用 HASH_DRIVER 环境变量指定应用程序的哈希驱动。但是，如果你想自定义 Laravel 的所有哈希驱动选项，你应该使用 config:publish Artisan 命令发布完整的 hashing 配置文件：

php artisan config:publish hashing

基本用法

哈希密码

你可以通过在 Hash facade 上调用 make 方法来哈希密码：

<?php

namespace App\Http\Controllers;

use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;

class PasswordController extends Controller
{
    /**
     * 更新用户的密码。
     */
    public function update(Request $request): RedirectResponse
    {
        // 验证新密码长度...

        $request->user()->fill([
            'password' => Hash::make($request->newPassword)
        ])->save();

        return redirect('/profile');
    }
}

调整 Bcrypt 工作因子

如果你使用的是 Bcrypt 算法，make 方法允许你使用 rounds 选项管理算法的工作因子；但是，Laravel 管理的默认工作因子对于大多数应用程序来说是可以接受的：

$hashed = Hash::make('password', [
    'rounds' => 12,
]);

调整 Argon2 工作因子

如果你使用的是 Argon2 算法，make 方法允许你使用 memory、time 和 threads 选项管理算法的工作因子；但是，Laravel 管理的默认值对于大多数应用程序来说是可以接受的：

$hashed = Hash::make('password', [
    'memory' => 1024,
    'time' => 2,
    'threads' => 2,
]);

NOTE

有关这些选项的更多信息，请参考 关于 Argon 哈希的 PHP 官方文档。

验证密码是否与哈希匹配

Hash facade 提供的 check 方法允许你验证给定的明文字符串是否与给定的哈希对应：

if (Hash::check('plain-text', $hashedPassword)) {
    // 密码匹配...
}

确定密码是否需要重新哈希

Hash facade 提供的 needsRehash 方法允许你确定自密码被哈希以来，哈希器使用的工作因子是否已更改。某些应用程序选择在应用程序的认证过程中执行此检查：

if (Hash::needsRehash($hashed)) {
    $hashed = Hash::make('plain-text');
}

哈希算法验证

为了防止哈希算法被篡改，Laravel 的 Hash::check 方法将首先验证给定的哈希是否使用应用程序选定的哈希算法生成。如果算法不同，将抛出 RuntimeException 异常。

这是大多数应用程序的预期行为，其中哈希算法不应更改，不同的算法可能是恶意攻击的迹象。但是，如果你需要在应用程序中支持多种哈希算法（例如从一种算法迁移到另一种算法时），你可以通过将 HASH_VERIFY 环境变量设置为 false 来禁用哈希算法验证：

HASH_VERIFY=false