使用 `password_hash()` 散列密码后,为什么验证时输入的密码似乎不匹配,但仍然成功?
password_hash() 密码散列的可靠性
许多开发人员可能会遇到这样的情况:用户输入的密码似乎与哈希后的存储密码不匹配,但实际情况并非如此。针对密码哈希函数 password_hash() 的使用提出了一个问题。
问题内容
开发人员将用户输入的密码使用 password_hash() 函数进行哈希处理,然后将其存储在数据库中。然而,在验证用户凭据时,输入的密码似乎与存储的哈希密码不同,但验证仍然成功。
问题解答
默认情况下,password_hash() 使用 bcrypt 算法生成密码散列,该算法以其稳健性和安全性而闻名。抄录用户输入的代码执行后:
public function hashPassword(string $password) { return password_hash($password, PASSWORD_DEFAULT); }
其中:
password_default表示使用 bcrypt 算法。
bcrypt 算法相对较慢,因此很难使用暴力破解或彩虹表攻击来还原原始密码。这就是为什么使用 password_hash() 存储的哈希密码被认为是可靠的。
与哈希算法无关,所描述的“明明输入的密码不正确,但还是通过了”的情况可能另有原因。由于代码中没有包含业务逻辑来验证密码匹配性,因此无法确定此问题的根源。