核心要點(diǎn)

• PHP 5.5 密碼哈希API 通過四個(gè)函數(shù)簡化了密碼哈希：password_hash() 用於哈希密碼，password_verify() 用於驗(yàn)證密碼與其哈希值，password_needs_rehash() 用於檢查密碼是否需要重新哈希，password_get_info() 用於返回哈希算法的名稱和哈希過程中使用的各種選項(xiàng)。
• 該 API 默認(rèn)使用 bcrypt 算法，並自動(dòng)處理鹽值的生成，無需開發(fā)人員提供。但是，開發(fā)人員仍然可以通過向 password_hash() 函數(shù)傳遞第三個(gè)參數(shù)來提供自己的鹽或成本值。
• 該 API 被認(rèn)為非常安全，但建議將其作為全面安全策略的一部分使用。使用 PHP 5.3.7 或更高版本的開發(fā)人員可以使用名為 password_compat 的庫，該庫模擬 API，並在 PHP 版本升級(jí)到 5.5 後自動(dòng)禁用自身。

使用 bcrypt 是目前公認(rèn)的最佳密碼哈希實(shí)踐，但許多開發(fā)人員仍在使用 MD5 和 SHA1 等較舊且較弱的算法。一些開發(fā)人員甚至在哈希時(shí)不使用鹽。 PHP 5.5 中的新哈希 API 旨在在隱藏其複雜性的同時(shí)，將注意力吸引到 bcrypt 上。在本文中，我將介紹使用 PHP 新哈希 API 的基礎(chǔ)知識(shí)。新的密碼哈希 API 公開了四個(gè)簡單的函數(shù)：

• password_hash() – 用於哈希密碼。
• password_verify() – 用於根據(jù)其哈希值驗(yàn)證密碼。
• password_needs_rehash() – 當(dāng)需要重新哈希密碼時(shí)使用。
• password_get_info() – 返回哈希算法的名稱和哈希過程中使用的各種選項(xiàng)。

password_hash()

儘管 crypt() 函數(shù)是安全的，但許多人認(rèn)為它過於復(fù)雜且容易出錯(cuò)。然後，一些開發(fā)人員使用弱鹽和弱算法來生成哈希，例如：

<?php $hash = md5($password . $salt); // 可行，但危險(xiǎn)

但是，password_hash() 函數(shù)可以簡化我們的工作，我們的代碼可以保持安全。當(dāng)您需要哈希密碼時(shí)，只需將其提供給函數(shù)，它將返回可以存儲(chǔ)在數(shù)據(jù)庫中的哈希值。

<?php $hash = md5($password . $salt); // 可行，但危險(xiǎn)

就是這樣！第一個(gè)參數(shù)是要哈希的密碼字符串，第二個(gè)參數(shù)指定應(yīng)用於生成哈希的算法。當(dāng)前默認(rèn)算法是 bcrypt，但將來某個(gè)時(shí)候可能會(huì)將更強(qiáng)大的算法添加為默認(rèn)算法，並可能生成更大的字符串。如果您在項(xiàng)目中使用 PASSWORD_DEFAULT，請(qǐng)確保將哈希存儲(chǔ)在容量超過 60 個(gè)字符的列中。將列大小設(shè)置為 255 可能是一個(gè)不錯(cuò)的選擇。您也可以使用 PASSWORD_BCRYPT 作為第二個(gè)參數(shù)。在這種情況下，結(jié)果始終為 60 個(gè)字符長。這裡重要的是，您不必提供鹽值或成本參數(shù)。新的 API 將為您處理所有這些。鹽是哈希的一部分，因此您不必單獨(dú)存儲(chǔ)它。如果要提供自己的鹽（或成本），可以通過向函數(shù)傳遞第三個(gè)參數(shù)（一個(gè)選項(xiàng)數(shù)組）來實(shí)現(xiàn)。

<?php $hash = password_hash($password, PASSWORD_DEFAULT);

通過這種方式，您始終可以使用最新的安全措施。如果 PHP 以後決定實(shí)現(xiàn)更強(qiáng)大的哈希算法，您的代碼可以利用它。

password_verify()

既然您已經(jīng)了解瞭如何使用新的 API 生成哈希，那麼讓我們看看如何驗(yàn)證密碼。請(qǐng)記住，您將哈希存儲(chǔ)在數(shù)據(jù)庫中，但在用戶登錄時(shí)獲得的是純文本密碼。 password_verify() 函數(shù)將純文本密碼和哈希字符串作為其兩個(gè)參數(shù)。如果哈希與指定的密碼匹配，則返回 true。

<?php $options = [
    'salt' => custom_function_for_salt(), //編寫您自己的代碼以生成合適的鹽
    'cost' => 12 // 默認(rèn)成本為 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);

請(qǐng)記住，鹽是哈希密碼的一部分，這就是為什麼我們?cè)谶@裡沒有單獨(dú)指定它的原因。

password_needs_rehash()

如果需要修改哈希字符串的鹽和成本參數(shù)怎麼辦？這是一個(gè)需要關(guān)注的問題，因?yàn)槟赡軟Q定通過添加更強(qiáng)的鹽或更大的成本參數(shù)來提高安全性。此外，PHP 可能會(huì)更改哈希算法的默認(rèn)實(shí)現(xiàn)。在所有這些情況下，您都希望重新哈希現(xiàn)有密碼。 password_needs_rehash()

有助於檢查指定的哈希是否實(shí)現(xiàn)了特定算法，並在創(chuàng)建時(shí)使用特定選項(xiàng)（如成本和鹽）。

<?php if (password_verify($password, $hash)) {
    // 成功！
} else {
    // 無效的憑據(jù)
}

請(qǐng)記住，當(dāng)用戶嘗試登錄您的網(wǎng)站時(shí)，您需要執(zhí)行此操作，因?yàn)檫@只是您可以訪問純文本密碼的時(shí)間。

password_get_info()

password_get_info() 接受一個(gè)哈希並返回一個(gè)包含三個(gè)元素的關(guān)聯(lián)數(shù)組：

• algo – 一個(gè)常量，用於標(biāo)識(shí)特定算法
• algoName – 使用的算法的名稱
• options – 生成哈希時(shí)使用的各種選項(xiàng)

結(jié)論

新的密碼哈希 API 比使用 crypt() 函數(shù)更容易使用。如果您的網(wǎng)站當(dāng)前運(yùn)行在 PHP 5.5 上，那麼我強(qiáng)烈建議您使用新的哈希 API。那些使用 PHP 5.3.7（或更高版本）的用戶可以使用名為 password_compat 的庫，該庫模擬 API，並在 PHP 版本升級(jí)到 5.5 後自動(dòng)禁用自身。

PHP 5.5 密碼哈希 API 常見問題解答 (FAQ)

什麼是 PHP 5.5 密碼哈希 API，為什麼它很重要？

PHP 5.5 密碼哈希 API 是 PHP 5.5 及更高版本中的一個(gè)功能，它為開發(fā)人員提供了一種以安全方式哈希和驗(yàn)證密碼的簡單方法。它很重要，因?yàn)樗兄侗Ｗo(hù)敏感的用戶數(shù)據(jù)。如果數(shù)據(jù)庫遭到入侵，哈希密碼比純文本密碼更難破解。該 API 默認(rèn)使用強(qiáng)大的哈希函數(shù) Bcrypt，並自動(dòng)處理鹽值的生成，使開發(fā)人員更容易實(shí)現(xiàn)安全的密碼處理。

password_hash 函數(shù)是如何工作的？

password_hash 函數(shù)是 PHP 5.5 密碼哈希 API 的一部分。它接收純文本密碼和哈希算法作為輸入，並返回一個(gè)哈希密碼。該函數(shù)還在哈希之前自動(dòng)生成並應(yīng)用一個(gè)隨機(jī)鹽值到密碼。此鹽值包含在返回的哈希中，因此無需單獨(dú)存儲(chǔ)它。

password_verify 函數(shù)的目的是什麼？

password_verify 函數(shù)用於根據(jù)哈希密碼驗(yàn)證密碼。它接收純文本密碼和哈希密碼作為輸入。該函數(shù)從哈希密碼中提取鹽值和哈希算法，將它們應(yīng)用於純文本密碼，然後將結(jié)果與原始哈希密碼進(jìn)行比較。如果匹配，則該函數(shù)返回 true，表明密碼正確。

PHP 5.5 密碼哈希 API 的安全性如何？

PHP 5.5 密碼哈希 API 被認(rèn)為非常安全。它默認(rèn)使用 Bcrypt 哈希算法，這是一個(gè)強(qiáng)大的哈希函數(shù)。該 API 還自動(dòng)為每個(gè)密碼生成並應(yīng)用一個(gè)隨機(jī)鹽值，這有助於防止彩虹表攻擊。但是，與所有安全措施一樣，它並非萬無一失，應(yīng)將其作為全面安全策略的一部分使用。

我可以在 password_hash 函數(shù)中使用自定義鹽嗎？

是的，您可以在 password_hash 函數(shù)中使用自定義鹽，但不推薦這樣做。該函數(shù)會(huì)自動(dòng)為每個(gè)密碼生成一個(gè)隨機(jī)鹽值，這通常比自定義鹽更安全。如果您確實(shí)選擇使用自定義鹽，它應(yīng)該是一個(gè)至少 22 個(gè)字符的隨機(jī)字符串。

password_hash 函數(shù)中的成本參數(shù)是什麼？

password_hash 函數(shù)中的成本參數(shù)決定了哈希的計(jì)算成本。較高的成本使哈希更安全，但也計(jì)算速度較慢。默認(rèn)成本為 10，對(duì)於大多數(shù)應(yīng)用程序來說，這是安全性和性能之間的良好平衡。

如何檢查哈希密碼是否需要重新哈希？

您可以使用 password_needs_rehash 函數(shù)來檢查哈希密碼是否需要重新哈希。此函數(shù)接收哈希密碼、哈希算法以及可選的成本作為輸入。如果哈希密碼是用不同的算法或成本創(chuàng)建的，則返回 true，表明它應(yīng)該重新哈希。

我可以將 PHP 5.5 密碼哈希 API 與舊版本的 PHP 一起使用嗎？

PHP 5.5 密碼哈希 API 僅在 PHP 5.5 及更高版本中可用。但是，有一個(gè)兼容性庫可為 PHP 5.3.7 及更高版本提供相同的功能。

如果我使用 PASSWORD_DEFAULT 常量哈希密碼，然後 PHP 的未來版本中的默認(rèn)算法發(fā)生更改會(huì)發(fā)生什麼？

如果您使用 PASSWORD_DEFAULT 常量哈希密碼，然後 PHP 的未來版本中的默認(rèn)算法發(fā)生更改，password_hash 函數(shù)將繼續(xù)按預(yù)期工作。哈希密碼包含有關(guān)所用算法的信息，因此 password_verify 函數(shù)仍然可以正確驗(yàn)證密碼。

我可以將 PHP 5.5 密碼哈希 API 與非 ASCII 密碼一起使用嗎？

是的，您可以將 PHP 5.5 密碼哈希 API 與非 ASCII 密碼一起使用。 password_hash 和 password_verify 函數(shù)使用二進(jìn)制數(shù)據(jù)，因此它們可以處理任何字符的密碼。但是，您應(yīng)該注意，不同的系統(tǒng)可能對(duì)非 ASCII 字符的處理方式不同，因此在哈希密碼之前對(duì)其進(jìn)行規(guī)範(fàn)化是一個(gè)好主意。

以上是帶有PHP 5.5密碼哈希API的哈希密碼的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！