Kata Laluan Hash dengan API Hashing Kata Laluan PHP 5.5

mata teras

PHP 5.5 Kata Laluan Hash API Memudahkan Hashing Kata Laluan dengan empat fungsi:
• Untuk kata laluan hashing, password_hash() untuk mengesahkan kata laluan dengan nilai hash mereka, password_verify() untuk memeriksa jika kata laluan perlu digunakan semula hash, password_needs_rehash() Digunakan untuk mengembalikan nama algoritma hash dan pelbagai pilihan yang digunakan dalam proses hashing. password_get_info()
API ini menggunakan algoritma bcrypt secara lalai dan secara automatik mengendalikan penjanaan nilai garam tanpa memerlukan pemaju untuk menyediakannya. Walau bagaimanapun, pemaju masih boleh memberikan nilai garam atau kos mereka sendiri dengan lulus parameter ketiga ke fungsi
• . password_hash()
API ini dianggap sangat selamat, tetapi disyorkan untuk menggunakannya sebagai sebahagian daripada dasar keselamatan yang komprehensif. Pemaju yang menggunakan Php 5.3.7 atau lebih baru boleh menggunakan perpustakaan yang dipanggil
• yang memancarkan API dan secara automatik melumpuhkan dirinya selepas versi PHP dinaik taraf kepada 5.5. password_compat

Menggunakan BCRYPT kini diiktiraf sebagai amalan hashing kata laluan terbaik, tetapi banyak pemaju masih menggunakan algoritma yang lebih tua dan lebih lemah seperti MD5 dan SHA1. Sesetengah pemaju tidak menggunakan garam semasa hashing. API hash baru dalam Php 5.5 direka untuk menarik perhatian kepada Bcrypt sambil menyembunyikan kerumitannya. Dalam artikel ini, saya akan meliputi asas -asas menggunakan API Hash New PHP. API hash kata laluan baru mendedahkan empat fungsi mudah:

• - Digunakan untuk hash kata laluan. password_hash()
• - Digunakan untuk mengesahkan kata laluan berdasarkan nilai hash mereka. password_verify()
• - Digunakan semasa mengembalikan kata laluan. password_needs_rehash()
• - Mengembalikan nama algoritma hashing dan pelbagai pilihan yang digunakan dalam proses hashing. password_get_info()

password_hash() Walaupun fungsi

adalah selamat, ramai orang berpendapat ia terlalu kompleks dan rawan kesilapan. Kemudian sesetengah pemaju menggunakan garam lemah dan algoritma lemah untuk menjana hash, seperti:

crypt() Walau bagaimanapun, fungsi

memudahkan kerja kami dan kod kami boleh disimpan dengan selamat. Apabila anda memerlukan kata laluan hash, berikannya kepada fungsi dan ia akan mengembalikan nilai hash yang boleh disimpan dalam pangkalan data.

<?php $hash = md5($password . $salt); // 可行，但危险

<?php $hash = md5($password . $salt); // 可行，但危险

itu sahaja! Parameter pertama adalah rentetan kata laluan yang ada, dan parameter kedua menentukan algoritma yang digunakan untuk menjana hash. Algoritma lalai semasa adalah bcrypt, tetapi kadang -kadang pada masa akan datang ia boleh menambah algoritma yang lebih kuat sebagai algoritma lalai dan boleh menghasilkan rentetan yang lebih besar. Jika anda menggunakan PASSWORD_DEFAULT dalam projek anda, pastikan untuk menyimpan hash dalam lajur dengan kapasiti lebih daripada 60 aksara. Menetapkan saiz lajur hingga 255 mungkin pilihan yang baik. Anda juga boleh menggunakan PASSWORD_BCRYPT sebagai parameter kedua. Dalam kes ini, hasilnya sentiasa panjang 60 aksara. Adalah penting di sini bahawa anda tidak perlu memberikan nilai garam atau parameter kos. API baru akan mengendalikan semua ini untuk anda. Garam adalah sebahagian daripada hash, jadi anda tidak perlu menyimpannya secara berasingan. Jika anda ingin memberikan garam anda sendiri (atau kos), anda boleh melakukannya dengan meluluskan parameter ketiga (pelbagai pilihan) ke fungsi.

<?php $hash = password_hash($password, PASSWORD_DEFAULT);

Dengan cara ini, anda sentiasa boleh menggunakan langkah keselamatan terkini. Jika PHP kemudian memutuskan untuk melaksanakan algoritma hashing yang lebih kuat, kod anda boleh memanfaatkannya.

password_verify()

Sekarang anda telah belajar bagaimana untuk menghasilkan hash menggunakan API baru, mari kita lihat bagaimana untuk mengesahkan kata laluan anda. Ingat bahawa anda menyimpan hash dalam pangkalan data, tetapi apa yang anda dapat ialah kata laluan teks biasa apabila pengguna log masuk. Fungsi

mengambil kata laluan teks biasa dan rentetan hash sebagai dua parameternya. Mengembalikan benar jika hash sepadan dengan kata laluan yang ditentukan. password_verify()

<?php $options = [
    'salt' => custom_function_for_salt(), //编写您自己的代码以生成合适的盐
    'cost' => 12 // 默认成本为 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);

ingat bahawa garam adalah sebahagian daripada kata laluan hash, itulah sebabnya kami tidak menentukannya secara berasingan di sini.

password_needs_rehash() Apa yang harus saya lakukan jika saya perlu mengubah suai garam dan parameter kos rentetan hash? Ini adalah kebimbangan kerana anda mungkin memutuskan untuk meningkatkan keselamatan dengan menambah garam yang lebih kuat atau parameter kos yang lebih besar. Di samping itu, PHP boleh mengubah pelaksanaan lalai algoritma hashing. Dalam semua kes ini, anda mahu mengembalikan kata laluan yang ada.

password_needs_rehash() membantu memeriksa sama ada hash yang ditentukan melaksanakan algoritma tertentu dan menggunakan pilihan tertentu (seperti kos dan garam) apabila dicipta.

Ingat bahawa apabila pengguna cuba log masuk ke laman web anda, anda perlu melakukan ini kerana ia hanya masa apabila anda boleh mengakses kata laluan teks biasa anda.

<?php if (password_verify($password, $hash)) {
    // 成功！
} else {
    // 无效的凭据
}

password_get_info() menerima hash dan mengembalikan array bersekutu yang mengandungi tiga elemen:

password_get_info()

- pemalar yang mengenal pasti algoritma tertentu

• algo - nama algoritma yang digunakan
• algoName - Pelbagai pilihan yang digunakan semasa menjana hash
• options
Kesimpulan

API hash kata laluan baru lebih mudah digunakan daripada menggunakan fungsi crypt(). Jika laman web anda sedang berjalan pada PHP 5.5, maka saya sangat mengesyorkan menggunakan API Hash baru. Mereka yang menggunakan Php 5.3.7 (atau lebih baru) boleh menggunakan perpustakaan yang dipanggil password_compat, yang meniru API dan secara automatik melumpuhkan dirinya selepas versi PHP ditingkatkan kepada 5.5.

php 5.5 kata laluan Hash API FAQ (FAQ)

Apakah API hash PHP 5.5 kata laluan dan mengapa penting?

PHP 5.5 Kata Laluan Hash API adalah ciri dalam PHP 5.5 dan kemudian yang menyediakan pemaju dengan cara mudah untuk hash dan mengesahkan kata laluan dengan cara yang selamat. Ia penting kerana ia membantu melindungi data pengguna yang sensitif. Jika pangkalan data digodam, kata laluan hash lebih sukar untuk retak daripada kata laluan teks biasa. API menggunakan fungsi hash yang kuat bcrypt secara lalai dan secara automatik mengendalikan penjanaan nilai garam, menjadikannya lebih mudah bagi pemaju untuk melaksanakan pemprosesan kata laluan yang selamat.

password_hash Bagaimana fungsi berfungsi?

Fungsi

password_hash adalah sebahagian daripada php 5.5 kata laluan hash API. Ia menerima kata laluan teks biasa dan algoritma hash sebagai input dan mengembalikan kata laluan hash. Fungsi ini juga menjana secara automatik dan menggunakan nilai garam rawak pada kata laluan sebelum hashing. Nilai garam ini terkandung dalam hash yang dikembalikan, jadi tidak perlu menyimpannya secara berasingan.

password_verify Apakah tujuan fungsi ini?

Fungsi

password_verify digunakan untuk mengesahkan kata laluan berdasarkan kata laluan hash. Ia menerima kata laluan teks biasa dan kata laluan hash sebagai input. Fungsi ini mengekstrak nilai garam dan algoritma hashing dari kata laluan hashed, menggunakannya pada kata laluan teks biasa, dan kemudian membandingkan hasil dengan kata laluan hashed asal. Jika ia sepadan, fungsi itu kembali benar, menunjukkan bahawa kata laluan adalah betul.

Bagaimana keselamatan php 5.5 kata laluan hash API?

PHP 5.5 Kata Laluan Hash API dianggap sangat selamat. Ia menggunakan algoritma Hashing Bcrypt secara lalai, yang merupakan fungsi hashing yang kuat. API juga secara automatik menjana dan menggunakan nilai garam rawak untuk setiap kata laluan, yang membantu mencegah serangan meja pelangi. Walau bagaimanapun, seperti semua langkah keselamatan, ia tidak boleh digunakan dan harus digunakan sebagai sebahagian daripada dasar keselamatan yang komprehensif.

Bolehkah saya menggunakan garam tersuai dalam fungsi password_hash?

Ya, anda boleh menggunakan garam tersuai dalam fungsi password_hash, tetapi ini tidak disyorkan. Fungsi ini secara automatik menjana nilai garam rawak untuk setiap kata laluan, yang biasanya lebih selamat daripada garam tersuai. Jika anda memilih untuk menggunakan garam tersuai, ia harus menjadi rentetan rawak sekurang -kurangnya 22 aksara.

password_hash Apakah parameter kos dalam fungsi?

password_hash Parameter kos dalam fungsi menentukan kos pengiraan hash. Kos yang lebih tinggi menjadikan hash lebih selamat, tetapi juga pengiraan yang lebih perlahan. Kos lalai adalah 10, yang merupakan keseimbangan yang baik antara keselamatan dan prestasi untuk kebanyakan aplikasi.

Bagaimana untuk memeriksa sama ada kata laluan hash perlu dibatalkan?

anda boleh menggunakan fungsi password_needs_rehash untuk memeriksa sama ada kata laluan hash perlu dibatalkan. Fungsi ini menerima kata laluan hash, algoritma hash, dan kos pilihan sebagai input. Sekiranya kata laluan hash dibuat dengan algoritma atau kos yang berbeza, ia akan kembali benar, menunjukkan bahawa ia perlu dibatalkan.

Bolehkah saya menggunakan php 5.5 kata laluan hash API dengan versi lama php?

PHP 5.5 Kata Laluan Hash API hanya tersedia dalam PHP 5.5 dan kemudian. Walau bagaimanapun, terdapat perpustakaan keserasian yang menyediakan fungsi yang sama untuk Php 5.3.7 dan kemudian.

Apa yang berlaku jika saya mempunyai kata laluan menggunakan hashing berterusan PASSWORD_DEFAULT dan kemudian algoritma lalai berubah dalam versi masa depan PHP?

Jika anda mempunyai kata laluan menggunakan PASSWORD_DEFAULT tetap dan kemudian algoritma lalai dalam versi masa depan perubahan PHP, fungsi password_hash akan terus berfungsi seperti yang diharapkan. Kata laluan hashed mengandungi maklumat mengenai algoritma yang digunakan, jadi fungsi password_verify masih boleh mengesahkan kata laluan dengan betul.

Bolehkah saya menggunakan php 5.5 kata laluan hash API dengan kata laluan bukan ASCII?

Ya, anda boleh menggunakan API hash PHP 5.5 kata laluan dengan kata laluan bukan ASCII. Fungsi password_hash dan password_verify menggunakan data binari, jadi mereka boleh mengendalikan kata laluan untuk sebarang watak. Walau bagaimanapun, anda perlu ambil perhatian bahawa sistem yang berbeza boleh mengendalikan aksara bukan ASCII secara berbeza, jadi adalah idea yang baik untuk menormalkannya sebelum membasuh kata laluan.

Atas ialah kandungan terperinci Kata Laluan Hash dengan API Hashing Kata Laluan PHP 5.5. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!