0

这存储在数据库中。如何将此演示密码发送给我的用户?我无法将此($2y$10$Zjk5YzQ4ZTlhMzNlNTUzMO3Wnm1FqXmAb6/4DmyptNGoEdWGLwls.)转换为普通文本。

有什么解决办法吗?我也无法发送随机密码。

demo = $2y$10$Zjk5YzQ4ZTlhMzNlNTUzMO3Wnm1FqXmAb6/4DmyptNGoEdWGLwls.

以下是我用于密码检查和生成的一些函数:

function password_encrypt($password) {
  $hash_format = "$2y$10$";   // Tells PHP to use Blowfish with a "cost" of 10
  $salt_length = 22;                    // Blowfish salts should be 22-characters or more
  $salt = generate_salt($salt_length);
  $format_and_salt = $hash_format . $salt;
  $hash = crypt($password, $format_and_salt);
    return $hash;
}

function generate_salt($length) {
  // Not 100% unique, not 100% random, but good enough for a salt
  // MD5 returns 32 characters
  $unique_random_string = md5(uniqid(mt_rand(), true));
    // Valid characters for a salt are [a-zA-Z0-9./]
  $base64_string = base64_encode($unique_random_string);
    // But not '+' which is valid in base64 encoding
  $modified_base64_string = str_replace('+', '.', $base64_string);
    // Truncate string to the correct length
  $salt = substr($modified_base64_string, 0, $length);
    return $salt;
}

function password_check($password, $existing_hash) {
    // existing hash contains format and salt at start
  $hash = crypt($password, $existing_hash);
  if ($hash === $existing_hash) {
    return true;
  } else {
    return false;
  }
}
4

1 回答 1

0

生成一个新密码并将其发送给用户,这不是一个很好的密码恢复方案。而是向用户发送带有随机独立代码的链接,并将此代码存储在您的数据库中(散列)。当用户点击链接时,然后让他输入新密码。不需要知道旧密码,当他可以阅读电子邮件(他的电子邮件地址)时,用户就被验证了。

一个忘记密码的表格,每个人都可以发布:如果有人输入了您的电子邮件,并且您的密码立即被更改,您将不会高兴。检索链接后,您可以忽略电子邮件,或确认您确实要更改密码。

正如您正确指出的那样,密码应存储为哈希,因此无法检索。一旦密码的哈希值存储在数据库中,就不再需要知道真正的密码了。以后每当您需要密码时,您就会知道它,因为用户输入了它。

要生成 BCrypt 哈希,我建议使用 PHP 函数password_hash(),还有一个适用于早期 PHP 版本的兼容性包。特别是盐的产生在那里得到了更好的解决。

PS您描述的哈希称为BCrypt,它基于用于双向加密的河豚密码。

于 2013-08-19T11:02:35.243 回答