我有一个 laravel 网站,它使用 html css 和 js 将其所有数据传输到 Hybird 移动应用程序。移动应用程序在离线模式下工作。我必须在基于从网站传输的数据的移动设备中执行身份验证。但是 laravel 使用 bcrypt 哈希。我如何制作类似的哈希以匹配javascript中的密码?是否可以在 javascript 中制作类似的哈希,或者有人已经这样做了?
【问题讨论】:
标签: javascript php laravel bcrypt
试图回答你模糊的问题(假设你正在寻找一个用于 javascript 的 bcrypt 库):
1) 这里有一个用于 javascript 的 bcrypt 库: https://github.com/nevins-b/javascript-bcrypt 在这里找到: bCrypt implementation in Javascript
我会假设(但不确定)laravel 使用 php 内置函数 password_hash() 和 password_verify(),因此输出包含使用过的盐的特殊格式,如 php doc 中的此示例:
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';
您可以查看两者的 php 文档: https://secure.php.net/manual/en/function.password-verify.php https://secure.php.net/manual/en/function.password-hash.php
您需要调整哈希字符串,以便可以在 javascript bcrypt 函数中使用它来验证移动应用中用户提供的密码。
更新
盐存储在哈希中,因此您可以提取它以进行 javascript 验证 - 只需在前缀“$2y$10$”之后取前 22 个字符(盐是“saltsaltsaltsaltsaltse”这个例子):
echo password_hash('JohnDoe', PASSWORD_DEFAULT, ['salt' => 'saltsaltsaltsaltsaltse']);
# will output $2y$10$saltsaltsaltsaltsaltseQMyqgPkFxQ1hfP2yBcGxgbJZGe1uGXq
更新
感谢 hassans 的研究,发现 javascript 库与来自 phps password_hash() 的哈希兼容 无需单独拆分哈希和/或提供盐。
为了避免 "Invalid salt revision" 错误在 js 库中 php 生成的哈希,必须在哈希前缀中将 $2y 替换为 $2a。 php 可以使用 js lib 中的哈希值而无需替换。
【讨论】:
我认为所有的身份验证都应该在后端服务器上完成(在这种情况下使用 laravel)。您不应将您的用户信息传输到客户端移动应用程序以进行离线身份验证。可能会出现几个问题,机密数据可能会暴露,最近注册的用户信息可能不会出现在离线移动应用程序上等等。
现在我建议您通过在线方式对用户进行身份验证/注册,然后在离线模式下进行其他操作。在 6 或 7 天后定期检查身份验证。
但是,如果您仍然需要每个 bcrypt 算法都应该产生相同的哈希,那么here 是一个应该有帮助的讨论。
注意:Authentication should not be done on client side.
【讨论】:
我认为您需要做的是对 bucrypt 进行 API 调用。
例如(使用 jQuery):
var stringToHash = 'mypassword';
$.ajax({
type: "GET",
data:{password:stringToHash },
success: function(response){
console.log('here you get response');
/*now the hash code*/
console.log(response.data);
}
});
public function hashPassword()
{
$hashPassword = bcrypt(Input::get('password'));
return response()->json([
'status' => 'success',
'data' => $hashPassword
]);
}
【讨论】: