我是否需要对我的盐进行 base64 编码（用于散列密码）？

Question

请原谅我提出这个非常奇怪的问题。我了解 base64 编码用于传输数据的目的（即 MIME 的 Base64 编码），但我不知道是否需要对我的 salts 进行 base64 编码。

我写了一个实用类（确实是一个基础抽象类）：

use Symfony\Component\Security\Core\Encoder\BasePasswordEncoder;

abstract class AbstractCryptPasswordEncoder extends BasePasswordEncoder
{
    /**
     * @return string
     */
    protected abstract function getSaltPrefix();

    /**
     * @return string
     */
    protected abstract function getSalt();

    /**
     * {@inheritdoc}
     */
    public function encodePassword($raw, $salt = null)
    {
        return crypt($raw, $this->getSaltPrefix().$this->getSalt());
    }

    /**
     * {@inheritdoc}
     */
    public function isPasswordValid($encoded, $raw, $salt = null)
    {
        return $encoded === crypt($raw, $encoded);
    }
}

真正的实现类是：

class Sha512CryptPasswordEncoder extends AbstractCryptPasswordEncoder
{
    /**
     * @var string
     */
    private $rounds;

    /**
     * @param null|int $rounds The number of hashing loops
     */
    public function __construct($rounds = null)
    {
        $this->rounds = $rounds;
    }

    /**
     * {@inheritdoc}
     */
    protected  function getSaltPrefix()
    {
        return sprintf('$6$%s', $this->rounds ? "rounds={$this->rounds}$" : '');
    }

    /**
     * {@inheritdoc}
     */
    protected function getSalt()
    {
        return base64_encode(openssl_random_pseudo_bytes(12));
    }
}

关键部分是盐生成，它将嵌入密码中：我是否需要base64_encode 出于任何原因（存储），假设它永远不会通过网络发送？

Answer 1

BASE64 用于将二进制数据编码为文本表示。它允许使用文本通道传输二进制数据。如果您想将散列密码存储在 DB 中，则不必对其进行编码 - 它已经是文本格式。

Answer 2

每个哈希算法都需要给定字母表中的盐，这意味着使用 base64_encode() 可能是正确的，但通常它要么不使用完整的字母表，要么返回不在此字母表中的字符。

以 BCrypt 为例，这是一个很好的密码哈希算法（SHA-512 不合适，因为它太快了），它接受 base64 编码字符串的所有字符，除了 '+' 字符。另一方面，它接受'。不属于 base64 编码字符串的字符。

PHP 5.5 将有函数password_hash() 和password_verify() 准备好，让BCrypt 的使用更容易，我真的可以推荐它们。还有一个 compatibility pack 可用于较旧的 PHP 版本，在第 121 行您可以看到确实使用了 base64_encode()，但之后所有无效的 '+' 字符都被替换为允许的 '.'字符：

为 BCrypt 编码盐：

$salt = str_replace('+', '.', base64_encode($buffer));