Laravel Hash

简介

Laravel Hash Facade提供了安全Bcrypt和Argon2哈希函数来存储用户密码。如果使用的是Laravel应用程序自带的内置LoginController和RegisterController类，则默认情况下它们将使用Bcrypt进行注册和身份验证。

Bcrypt是散列密码的绝佳选择，因为它的“work 因子”是可调的，这意味着随着硬件能力的提高，生成散列所花费的时间可以增加。

配置

在config/hashing.php配置文件中配置了应用程序的默认哈希驱动程序。当前支持三种驱动程序：Bcrypt和Argon2（Argon2i和Argon2id变体）。

Argon2i驱动程序需要PHP 7.2.0或更高版本，而Argon2id驱动程序需要PHP 7.3.0或更高版本。

基本用法

我们可以通过调用Hash Facade的make方法来对密码进行哈希处理：

<?php

namespace App\Http\Controllers;

use App\Http\Controllers\Controller;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;

class UpdatePasswordController extends Controller
{
    /**
     * Update the password for the user.
     *
     * @param  Request  $request
     * @return Response
     */
    public function update(Request $request)
    {
        // Validate the new password length...

        $request->user()->fill([
            'password' => Hash::make($request->newPassword)
        ])->save();
    }
}

调整Bcrypt工作系数

如果使用的是Bcrypt算法，则make方法允许使用rounds选项管理算法的工作因数；但是，大多数应用程序是使用默认值的，不用改变这个系数：

$hashed = Hash::make('password', [
    'rounds' => 12,
]);

调整Argon2工作系数

如果使用的是Argon2算法，make方法允许使用memory、time和threads来控制算法的工作因子; 但是，大多数应用程序使用默认值：

$hashed = Hash::make('password', [
    'memory' => 1024,
    'time' => 2,
    'threads' => 2,
]);

有关这些选项的更多信息，请查阅PHP官方文档。

验证哈希密码

check方法使我们可以验证给定的纯文本字符串是否与给定的哈希相对应。但是，如果使用的是Laravel自带的控制器LoginController，则可能不需要直接使用check方法，因为此控制器会自动调用此方法：

if (Hash::check('plain-text', $hashedPassword)) {
    // The passwords match...
}

检查是否需要重新输入密码

needsRehash函数允许我们确定自哈希密码生成以来哈希器使用的工作因子是否已更改：

if (Hash::needsRehash($hashed)) {
    $hashed = Hash::make('plain-text');
}