比较 BCrypt 哈希和 Bcrypt 哈希 PHP

Question

这就是我所反对的。

我正在构建一个适用于 iPhone 的应用程序，该应用程序与我网站上受密码保护的页面进行通信。该应用程序可以很好地通过密码保护，并且可以很好地从页面获得响应。问题是当我尝试从我的应用程序登录到该站点时，它被拒绝了。我相信这是因为我在将密码发送到网站之前在应用程序中使用 Bcrypt 对密码进行哈希处理，然后使用password_verify() 对其进行检查，这当然需要密码的纯文本，然后是哈希版本，但我给它不接受同一事物的两个散列版本。

我的问题是：是否可以使用password_verify 或其他功能比较两个加密密码？如果不是，是否足够安全（我敢这么说）从应用程序以纯文本形式发送密码？

提前感谢大家！

Answer 1

是否可以使用 password_verify 或其他函数比较两个加密密码？

没有。 password_verify 需要明文密码和以前的哈希形式的密码，其中嵌入的盐作为输入，没有办法解决这个问题。该算法是这样的，您需要再次使用盐来产生相同的散列，因此您唯一的其他选择是将散列/盐传输到客户端以在那里重现该算法。但这毫无意义，因为您想在服务器上而不是在不可信的客户端上进行密码确认。

如果不是，是否足够安全（我敢这么说）从应用程序以纯文本形式发送密码？

当然，只要 通信渠道 是安全的，这意味着您有 SSL 连接。