在Laravel中,关于加密你会发现有几种说法,一个是Encryption,一个是Hash,还有一个是bcrypt,bcrypt和Hash是同一个意思。

Encryption和Hash的区别:

哈希(Hash)是将目标文本转换成具有相同长度的、不可逆的杂凑字符串(或叫做消息摘要),

而加密(Encrypt)是将目标文本转换成具有不同长度的、可逆的密文。 

你可能还会问,那么MD5加密呢?MD5也是一种Hash加密方式,只不过相比较bcrypt,它已经过时了,Laravel中建议使用bcrypt


配置


Encryption就是拿congif配置文件中的App Key作为基础进行加密运算,同样借由App Key还可以进行逆向解密。 

App Key一定要合理设置,否则加密就不安全了。 命令行生成app key:

php artisan key:generate

加密和解密

$encryptedValue = Crypt::encrypt('Hello World');
$decrypted = Crypt::decrypt($encryptedValue);
//'Hello World'


密码不建议使用这种方式,密码使用Bcrypt。

Laravel Hash门面为存储用户密码提供了安全的Bcrypt 哈希算法。

如果你正在使用Laravel应用自带的AuthController控制器,将会自动为注册和认证使用该Bcrypt。

Bcrypt是散列密码的绝佳选择,因为其”工作因子“是可调整的,这意味着随着硬件功能的提升,生成哈希所花费的时间也会增加。

基本使用

可以调用Hash门面上的make方法散列存储密码:

<?php

namespace App\Http\Controllers;

use Hash;
use App\User;
use Illuminate\Http\Request;
use App\Http\Controllers\Controller;

class UserController extends Controller{
    /**
     * 更新用户密码
     *
     * @param  Request  $request
     * @param  int  $id
     * @return Response
     */
    public function updatePassword(Request $request, $id)
    {
        $user = User::findOrFail($id);

        // 验证新密码长度...

        $user->fill([
            'password' => Hash::make($request->newPassword)
        ])->save();
    }
}

此外,还可以使用全局的帮助函数bcrypt:

bcrypt('plain-text');

验证哈希密码

check方法允许你验证给定原生字符串和给定哈希是否相等,然而,如果你在使用Laravel自带的AuthController,就不需要再直接使用该方法,因为自带的认证控制器自动调用了该方法:

//密码:plain-text
if (Hash::check('plain-text', $hashedPassword)) {
    // 密码匹配...
}

检查密码是否需要被重新哈希

needsRehash方法允许你判断哈希计算器使用的工作因子在上次密码被哈希后是否发生改变:

if (Hash::needsRehash($hashed)) {
    $hashed = Hash::make('plain-text');
}