使用随机盐 BCrypt 散列后检索密码

Question

在用随机盐对密码进行哈希处理后，我无法找到任何验证密码的方法：

    public function hashPassword($password){
        $options = [
            'cost' => 11,
            'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
        ];
        return password_hash($password, PASSWORD_BCRYPT, $options);
    }

以及要检索的代码：

    public function validatePassword($password){
        return password_verify($this->password, self::model()->password);
    }

但它似乎不起作用，也许有人可以告诉我为什么？

Answer 1

您实际上并未在 validatePassword 函数中使用 $password 参数。注意：$password 应该是输入的纯文本密码，第二个参数应该包含您之前存储的哈希版本。试试这个：

public function validatePassword($password){
    return password_verify($password, self::model()->password);
}

另外，最好不要自己处理盐渍。只需使用PASSWORD_DEFAULT 选项，不要加盐。 PHP 将处理它。您可以使用password_needs_rehash() 来检查如果PHP 版本升级更改了默认密码，是否需要重新哈希密码。

Answer 2

以完全相同的方式再次对其进行哈希处理并比较两个字符串。这是大多数密码的比较方式。