如何从 php 中的 bcrypt 哈希密码中提取盐?

【问题标题】:How can I extract the salt out of bcrypt hash passwords in php?如何从 php 中的 bcrypt 哈希密码中提取盐?
【发布时间】:2013-06-24 06:13:15
【问题描述】:

我的数据库存储 bcrypt 密码,这意味着盐应该存储在密码字段中。我不想在不需要的时候创建一个单独的字段来单独存储盐。但是,当我想将用户发送给我的密码与存储在数据库中的密码进行比较时,我需要使用相同的盐对传入的密码进行哈希处理。问题:存储的哈希的哪一部分是盐?我想我可以使用简单的 substr() 返回盐。

// password stored in database.
$user->password_hash = password_hash($password, PASSWORD_BCRYPT, array('cost' => 13));


// password from form being compared to form password

$form_password_hash = password_hash($data['form-password'], PASSWORD_BCRYPT, array('cost' => 13));

if($user->getPasswordHash() == $form_password_hash)
{
    $user->setPassword($data['new-password']);
    return new Response("Your password has been changed");
}

【问题讨论】:

  • 否; bcrypt 为你做这件事。
  • 我使用的每个 bcrypt 库都只处理整个字符串,您不需要单独传递盐。确定这是一种选择吗?
  • 当您说“bcrypt 正在生成新盐”时,我听到“我做错了”。发布您的代码。
  • 看看这个答案,根据你运行的版本,它有几种在 php 中使用 bcrypt 的方法:stackoverflow.com/a/6337021/1248861
  • @Mr.Student password_verify 为你做这件事。它不会生成新的盐,它使用您传入的哈希中包含的盐。

标签: php symfony hash cryptography bcrypt


【解决方案1】:

Salt 是散列中第三个 $ 之后的前 22 个字符:

$2y$13$<this is the salt, 22 chars><this is the password hash>

但您不应该手动提取盐来验证密码 - 使用 password_verify function。它将用户输入的密码作为第一个参数,将完整的哈希作为第二个参数,并正确处理盐。

【讨论】:

  • 当您想使用 password_hash() 自己重新创建哈希时,它对调试很有用;
【解决方案2】:

您需要使用password_verify 函数。此函数将解析哈希密码字符串以找到盐并执行计算。

if (password_verify($data['form-password'], $user->getPasswordHash())) {
    echo 'Password is correct';
}

【讨论】:

  • @owlstead 这可能不是 OP 问题的答案,但它是他们问题的解决方案。
  • @user1615903 是的,这可能是真的,所以我会添加一些信息以便能够投票:)
猜你喜欢
  • 1970-01-01
  • 2014-06-09
  • 2019-11-11
  • 2023-01-08
  • 1970-01-01
  • 1970-01-01
  • 2012-11-04
  • 2010-09-28
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode