Bcrypt，您如何使用随机盐进行验证？

Question

我从 PHP 网站上得到了这段代码。我可以在没有盐的情况下完成这项工作。但是你如何用盐验证 - 或者它是否必须存储到一个变量中然后你以后使用它？不确定如何进行下一步验证。很多关于如何制作哈希的教程，但验证是另一回事。谢谢。

$options = [
'cost' => 11,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n";


// See the password_hash() example to see where this came from.
$hash = '$2y$11$nJp/w0OC41I0m44T9OQKBuWUrQi63PrJuvDc68KI6oDBdnZK01kiW ';

if (password_verify('rasmuslerdorf', $hash)) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}

Answer 1

请注意，password_hash() 将算法、成本和盐作为返回哈希的一部分返回。因此，验证哈希所需的所有信息都包含在其中。这允许验证函数验证哈希，而无需单独存储盐或算法信息。

来源：http://php.net/manual/en/function.password-verify.php

只需像上面一样使用该功能，它会自动检测盐。

如果省略，password_hash() 将为每个散列的密码生成一个随机盐。这是预期的操作模式。

来源：http://php.net/manual/en/function.password-hash.php

即使您不添加盐，password_hash 也会自动添加一个随机生成的，因此您在验证已添加盐的密码时应该不会有任何问题。

还要注意：

从 PHP 7.0.0 开始不推荐使用 salt 选项。现在更倾向于简单地使用默认生成的盐。