以下是我的密码存储哈希:
$P$Di4MXJKUkkJRfzrpffssNdasSN3XAg0
我正在尝试像这样验证我的 Xenforo 密码:
$newHash = $crypt($userPass, $stored_hash);
return $newHash === $stored_hash;
例如:
我的密码是:123456
我的密码存储哈希是:$P$Di4MXJKUkkJRfzrpffssNdasSN3XAg0
所以我正在编写以下代码进行身份验证:
$newHash = crypt("123456", "$P$Di4MXJKUkkJRfzrpffssNdasSN3XAg0");
return $newHash === "$P$Di4MXJKUkkJRfzrpffssNdasSN3XAg0";
任何人都可以建议我如何进行身份验证?
提前致谢。
您必须像这样将新哈希与旧哈希进行比较:
$existingHash = "$P$Di4MXJKUkkJRfzrpffssNdasSN3XAg0";
$newHash = crypt("123456", $existingHash);
$isSamePassword = $newHash === $existingHash;
我建议仅出于向后兼容性使用此哈希算法,对于新哈希,您应该使用具有成本因素的慢速算法。最简单和最安全的方法是使用password_hash()函数:
// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
// Check if the hash of the entered login password, matches the stored hash.
// The salt and the cost factor will be extracted from $existingHashFromDb.
$isPasswordCorrect = password_verify($password, $existingHashFromDb);
编辑:
经过快速研究,我发现phpass 库$P$使用了签名,以防万一没有安全的哈希算法可用。在没有替代品的情况下,它使用迭代的 MD5 哈希方案。您可以尝试包含 phpass 库(代码可用)来检查您的哈希值。