顺带说一下,任何情况下尽可能的不要使用 md5 算法,至少也要使用 SHA 系列的哈希算法。因为md5算法以目前计算机的计算能力来说显得比较简单,而 md5 的性能优势现在也已经完全可以忽略不计了。
密码哈希API
上面我们说到 bcrypt 算法最安全,最适合对我们的密码进行哈希。 PHP 在 PHP5.5.0+ 的版本中提供了原生的密码哈希API供我们使用,这个密码哈希API默认使用的就是 bcrypt 哈希算法,从而大大简化了我们计算密码哈希值和验证密码的操作。
PHP原生密码哈希API
密码哈希函数:
password_get_info
返回指定的哈希值的相关信息
password_hash
创建密码的哈希(hash)
password_needs_rehash
检查给定的哈希是否与给定的选项匹配
password_verify
验证密码是否和哈希匹配
password_get_info
说明
array password_get_info ( string $hash )
参数
hash, 一个由 password_hash() 创建的散列值。
示例,
<?php var_dump(password_get_info($hash)); // Example array(3) { ["algo"]=> int(1) ["algoName"]=> string(6) "bcrypt" ["options"]=> array(1) { ["cost"]=> int(10) } } ?>
password_hash
说明
string password_hash ( string $password , integer $algo [, array $options ] )
password_hash() 使用足够强度的单向散列算法创建密码的哈希(hash)。 password_hash() 兼容 crypt()。 所以, crypt() 创建的密码哈希也可用于 password_hash()。
当前支持的算法:
PASSWORD_DEFAULT
使用 bcrypt 算法 (PHP 5.5.0 默认)。 注意,该常量会随着 PHP 加入更新更高强度的算法而改变。 所以,使用此常量生成结果的长度将在未来有变化。 因此,数据库里储存结果的列可超过60个字符(最好是255个字符)。
PASSWORD_BCRYPT
使用 CRYPT_BLOWFISH 算法创建哈希。 这会产生兼容使用 “$2y$“ 的 crypt()。 结果将会是 60 个字符的字符串, 或者在失败时返回 FALSE。
支持的选项:
salt - 手动提供哈希密码的盐值(salt)。这将避免自动生成盐值(salt)。
省略此值后,password_hash() 会为每个密码哈希自动生成随机的盐值。这种操作是有意的模式。
Warning 盐值(salt)选项从 PHP 7.0.0 开始被废弃(deprecated)了。 现在最好选择简单的使用默认产生的盐值。
cost - 代表算法使用的 cost。crypt() 页面上有 cost 值的例子。
省略时,默认值是 10。 这个 cost 是个不错的底线,但也许可以根据自己硬件的情况,加大这个值。
参数
password, 用户的密码。
使用 PASSWORD_BCRYPT 做算法,将使 password 参数最长为72个字符,超过会被截断。
algo, 一个用来在散列密码时指示算法的密码算法常量。
options, 一个包含有选项的关联数组。目前支持两个选项:
salt,在散列密码时加的盐(干扰字符串),
cost,用来指明算法递归的层数。这两个值的例子可在 crypt() 页面找到。
省略后,将使用随机盐值与默认 cost。
示例
示例1,使用默认算法哈希密码
<?php /** * 我们想要使用默认算法哈希密码 * 当前是 BCRYPT,并会产生 60 个字符的结果。 * * 请注意,随时间推移,默认算法可能会有变化, * 所以需要储存的空间能够超过 60 字(255字不错) */ echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT)."\n"; ?> // 输出类似于: // $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a
示例2,手动设置 cost
<?php /** * 在这个案例里,我们为 BCRYPT 增加 cost 到 12。 * 注意,我们已经切换到了,将始终产生 60 个字符。 */ $options = [ 'cost' => 12, ]; echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n"; ?> // 输出类似于: // $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K
示例3,如何选择一个适合当前服务器的 cost
<?php /** * 这个例子对服务器做了基准测试(benchmark),检测服务器能承受多高的 cost * 在不明显拖慢服务器的情况下可以设置最高的值 * 8-10 是个不错的底线,在服务器够快的情况下,越高越好。 * 以下代码目标为 ≤ 50 毫秒(milliseconds), * 适合系统处理交互登录。 */ $timeTarget = 0.05; // 50 毫秒(milliseconds) $cost = 8; do { $cost++; $start = microtime(true); password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]); $end = microtime(true); } while (($end - $start) < $timeTarget); echo "Appropriate Cost Found: " . $cost . "\n"; ?>
输出类似于:
Appropriate Cost Found: 10
password_needs_rehash
说明
boolean password_needs_rehash ( string $hash , integer $algo [, array $options ] )
参数
hash, 一个由 password_hash() 创建的散列值。
algo, 一个用来在散列密码时指示算法的密码算法常量。