End.

php密码散列算法,密码加密方法password_hash()

2022-04-21 20:25 所属:PHP 阅读数:230

加密使用 password_hash()

解密使用 password_verify()


一、PHP password_hash() 函数

password_hash() 函数用于创建密码的散列(hash)


语法

string password_hash ( string $password , int $algo [, array $options ] )


password_hash() 使用足够强度的单向散列算法创建密码的散列(hash)。 

password_hash() 兼容 crypt()。 所以, crypt() 创建的密码散列也可用于 password_hash()。


当前支持的算法:

  • PASSWORD_DEFAULT - 使用 bcrypt 算法 (PHP 5.5.0 默认)。 注意,该常量会随着 PHP 加入更新更高强度的算法而改变。 所以,使用此常量生成结果的长度将在未来有变化。 因此,数据库里储存结果的列可超过60个字符(最好是255个字符)。
  • PASSWORD_BCRYPT - 使用 CRYPT_BLOWFISH 算法创建散列。 这会产生兼容使用 "$2y$" 的 crypt()。 结果将会是 60 个字符的字符串, 或者在失败时返回 FALSE
  • PASSWORD_ARGON2I - 使用 Argon2 散列算法创建散列。


PASSWORD_BCRYPT 支持的选项:

  • salt(string) - 手动提供散列密码的盐值(salt)。这将避免自动生成盐值(salt)。

    省略此值后,password_hash() 会为每个密码散列自动生成随机的盐值。这种操作是有意的模式。

    注意:盐值(salt)选项从 PHP 7.0.0 开始被废弃(deprecated)了。 现在最好选择简单的使用默认产生的盐值。

  • cost (integer) - 代表算法使用的 cost。crypt() 页面上有 cost 值的例子。

    省略时,默认值是 10。 这个 cost 是个不错的底线,但也许可以根据自己硬件的情况,加大这个值。


PASSWORD_ARGON2I 支持的选项:

  • memory_cost (integer) - 计算 Argon2 散列时的最大内存(单位:字节 byte)。默认值: PASSWORD_ARGON2_DEFAULT_MEMORY_COST

  • time_cost (integer) - 计算 Argon2 散列时最多的时间。默认值: PASSWORD_ARGON2_DEFAULT_TIME_COST

  • threads (integer) - 计算 Argon2 散列时最多的线程数。默认值: PASSWORD_ARGON2_DEFAULT_THREADS

参数说明:

  • password: 一个由 password_hash() 创建的散列值。

  • algo: 一个用来在散列密码时指示算法的密码算法常量。

  • options: 一个包含有选项的关联数组。目前支持两个选项:salt,在散列密码时加的盐(干扰字符串),以及cost,用来指明算法递归的层数。这两个值的例子可在 crypt() 页面找到。

    省略后,将使用随机盐值与默认 cost。


返回值

返回散列后的密码, 或者在失败时返回 FALSE。


实例

<?php
/**
 * 我们想要使用默认算法散列密码
 * 当前是 BCRYPT,并会产生 60 个字符的结果。
 *
 * 请注意,随时间推移,默认算法可能会有变化,
 * 所以需要储存的空间能够超过 60 字(255字不错)
 */
echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT);

输出结果为:

$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a


二、PHP password_verify() 函数

password_verify() 函数用于验证密码是否和散列值匹配。


语法

bool password_verify ( string $password , string $hash )


参数说明:

  • password: 用户的密码。
  • hash: 一个由 password_hash() 创建的散列值。


返回值

如果密码和散列值匹配则返回 TRUE,否则返回 FALSE 。


实例

<?php
// 想知道以下字符从哪里来,可参见 password_hash() 的例子
$hash = '$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a';
 
if (password_verify('rasmuslerdorf', $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

输出结果为:

Password is valid!
End.