Laravel 的 Hash 外观 提供安全的 Bcrypt 和 Argon2 哈希算法用于存储用户密码。如果您正在使用 Laravel 应用程序入门套件 之一,Bcrypt 将默认用于注册和身份验证。
Bcrypt 是哈希密码的绝佳选择,因为它的“工作因子”可调,这意味着生成哈希所需的时间可以随着硬件性能的提升而增加。在哈希密码时,慢是好事。算法哈希密码所需的时间越长,恶意用户生成所有可能的字符串哈希值“彩虹表”所需的时间就越长,这些值可能被用于针对应用程序的暴力破解攻击。
默认情况下,Laravel 在哈希数据时使用 bcrypt 哈希驱动程序。 然而,还支持其他几种哈希驱动程序,包括 argon 和 argon2id。
你可以使用 HASH_DRIVER 环境变量来指定你的应用的哈希驱动。但是,如果你想自定义 Laravel 的所有哈希驱动选项,你应该使用 config:publish Artisan 命令发布完整的 hashing 配置文件:
php artisan config:publish hashing你可以通过在 Hash 门面上调用 make 方法来哈希密码:
<?php
namespace App\Http\Controllers;
use Illuminate\Http\RedirectResponse;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
class PasswordController extends Controller
{
/**
* Update the password for the user.
*/
public function update(Request $request): RedirectResponse
{
// Validate the new password length...
$request->user()->fill([
'password' => Hash::make($request->newPassword)
])->save();
return redirect('/profile');
}
}如果您正在使用 Bcrypt 算法,make 方法允许您使用 rounds 选项来管理算法的工作因子;然而,Laravel 管理的默认工作因子对于大多数应用程序来说是可以接受的:
$hashed = Hash::make('password', [
'rounds' => 12,
]);如果您正在使用 Argon2 算法,make 方法允许您使用 memory、time 和 threads 选项来管理算法的工作因子;但是,Laravel 管理的默认值对于大多数应用程序来说是可接受的:
$hashed = Hash::make('password', [
'memory' => 1024,
'time' => 2,
'threads' => 2,
]);[!注意]
有关这些选项的更多信息,请参阅关于 Argon 散列的官方 PHP 文档。
由 Hash 门面提供的 check 方法允许你验证给定的纯文本字符串是否与给定的哈希值匹配:
if (Hash::check('plain-text', $hashedPassword)) {
// The passwords match...
}由 Hash facade 提供的 needsRehash 方法允许你确定自密码被哈希以来哈希器使用的工作因子是否已更改。一些应用程序选择在应用程序的认证过程中执行此检查:
if (Hash::needsRehash($hashed)) {
$hashed = Hash::make('plain-text');
}为了防止哈希算法被篡改,Laravel 的 Hash::check 方法将首先验证给定的哈希值是否是使用应用程序选定的哈希算法生成的。如果算法不同,将抛出 RuntimeException 异常。
这是大多数应用程序的预期行为,其中哈希算法不应更改,不同算法可能表示恶意攻击。然而,如果您的应用程序需要支持多种哈希算法,例如从一种算法迁移到另一种算法时,您可以通过将 HASH_VERIFY 环境变量设置为 false:`
HASH_VERIFY=false