使用 bcrypt 作为用户密码

Question

我正在使用phpass 的 bcrypt 功能在我的网站上散列密码。 现在，它真的行不通了。试图与CheckPassword 函数进行比较是行不通的。我对通过我用来解密哈希的每个函数输出的每个字符串进行了大量调试，得出的结论是 bcrypt 生成的哈希是非常随机的。因此，新生成的明文密码哈希永远不会与我数据库中的哈希匹配。真的吗？如果是这样，我到底要如何让它工作？源码比较简单。

// when creating user 
<db insert code>$hash->HashPassword($_POST['password']);

// when logging in
return $hash->CheckPassword($user->password, $_POST['password']);

Answer 1

编辑： 问题是您的顺序错误，您需要密码，然后是存储的哈希。

$check = $hasher->CheckPassword($password, $stored_hash);

Source

这很重要，正如我之前（下文）所说，存储的哈希用于决定如何对密码进行哈希比较，因此您错误的参数顺序将导致失败。

之前的回答：

您不会解密哈希，而是通过以相同方式对可比较数据进行哈希来检查它。 BCrypt哈希包括哈希、盐和轮数，所以检查这个应该没有问题。

哈希值永远不会相同的原因是盐每次都会不同。这是为了防止彩虹表攻击。

据我所知，您的检查是正确的。问题一定出在其他地方。您确定 $user->password 实际上包含完整的哈希吗？ BCrypt 哈希是 60 个字符，因此请确保它没有被截断。