哈希
介绍
Laravel 的 Hash facade 提供了安全的 Bcrypt 和 Argon2 哈希,用于存储用户密码。如果您使用的是 Laravel 应用程序中包含的内置 LoginController 和 RegisterController 类,它们将默认使用 Bcrypt 进行注册和身份验证。
Bcrypt 是哈希密码的绝佳选择,因为它的“工作因子”是可调的,这意味着可以随着硬件能力的提高增加生成哈希所需的时间。
配置
应用程序的默认哈希驱动程序在 config/hashing.php 配置文件中配置。目前支持三种驱动程序:Bcrypt 和 Argon2(Argon2i 和 Argon2id 变体)。
Argon2i 驱动程序需要 PHP 7.2.0 或更高版本,Argon2id 驱动程序需要 PHP 7.3.0 或更高版本。
基本用法
您可以通过调用 Hash facade 上的 make 方法来哈希密码:
php
<?php
namespace App\Http\Controllers;
use App\Http\Controllers\Controller;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
class UpdatePasswordController extends Controller
{
/**
* 更新用户的密码。
*
* @param Request $request
* @return Response
*/
public function update(Request $request)
{
// 验证新密码长度...
$request->user()->fill([
'password' => Hash::make($request->newPassword)
])->save();
}
}调整 Bcrypt 工作因子
如果您使用的是 Bcrypt 算法,make 方法允许您使用 rounds 选项管理算法的工作因子;然而,对于大多数应用程序,默认值是可以接受的:
php
$hashed = Hash::make('password', [
'rounds' => 12
]);调整 Argon2 工作因子
如果您使用的是 Argon2 算法,make 方法允许您使用 memory、time 和 threads 选项管理算法的工作因子;然而,对于大多数应用程序,默认值是可以接受的:
php
$hashed = Hash::make('password', [
'memory' => 1024,
'time' => 2,
'threads' => 2,
]);有关这些选项的更多信息,请查看 官方 PHP 文档。
验证密码与哈希的匹配
check 方法允许您验证给定的纯文本字符串是否与给定的哈希匹配。然而,如果您使用的是 Laravel 中包含的 LoginController,您可能不需要直接使用此方法,因为此控制器会自动调用此方法:
php
if (Hash::check('plain-text', $hashedPassword)) {
// 密码匹配...
}检查密码是否需要重新哈希
needsRehash 函数允许您确定哈希器使用的工作因子自密码哈希以来是否已更改:
php
if (Hash::needsRehash($hashed)) {
$hashed = Hash::make('plain-text');
}