PHP 加密:Password Hashing API

时间:2022-03-16 06:20:25

PHP 5.5 之后引入 Password hashing API 用于创建和校验哈希密码,它属于内核自带,无需进行任何扩展安装和配置。它主要提供了四个函数以供使用:

  • password_hash():创建密码的哈希;
  • password_verify():验证密码是否和哈希匹配;
  • password_needs_rehash():检查给定的哈希是否匹配给定的选项;
  • password_get_info():返回指定哈希的相关信息。

1、password_hash(string password, int algo [, array options])

使用足够强度的单向散列算法生成密码的哈希。此函数兼容 crypt(),即由 crypt() 生成的哈希值可以使用 Password hashing API 的相关函数进行校验。

  • password:用户密码。
  • algo:密码算法常量。取值包括:
    • PASSWORD_DEFAULT:使用 bcrypt 算法。最终生成的结果可能超过 60 个字符;
    • PASSWORD_BCRYPT:使用 CRYPT_BLOWFISH 算法创建哈希。最终结果是 60 个字符的字符串,或在失败时返回 FALSE。
  • options:
  • salt:手动提供哈希密码的盐值。省略此项时,函数会为每个密码哈希自动生成随机的盐值。PHP 7.0 已废弃该项
  • cost:代表算法使用的 cost。默认值是 10,可根据实际情况增加。

2、password_verify(string password, string hash)

  • password:用户提供的密码。
  • hash:由 password_hash() 创建的哈希散列值。 如果匹配则返回 TRUE,否则返回 FALSE。时序攻击对此函数不起作用。

3、password_needs_rehash(string hash, integer algo [, array opitons])

  • hash:由 password_hash() 生成的哈希;
  • algo:密码算法常量;
  • options:包含有关选项的关联数组。

4、password_get_info(string hash) hash:由 password_hash() 生成的哈希。 返回一个包含三个元素的关联数组:

  • algo:密码算法常量;
  • algoName:算法名称;
  • options:调用 password_hash() 时提供的选项。

示例

1 $str = 'chicken,run!';
2 $pwd1 = password_hash($str, PASSWORD_BCRYPT);
3 $pwd2 = crypt($str);
4 
5 var_dump(password_verify('chicken,run!', $pwd1));    // 输出 true
6 var_dump(password_verify('chicken,ran!', $pwd1));    // 输出 false
7 var_dump(password_verify($str, $pwd2));    // 输出 true
8 var_dump(password_needs_rehash($pwd1, PASSWORD_BCRYPT, ['cost'=>10]));   // 输出 false,因为 password_hash() 在加密时,出来默认 cost 为 10 外,还会指定随机的盐值