使用bcrypt獲取用戶密碼

Question

我正在使用phpass的bcrypt功能在我的網站上查找密碼。 現在，它不會真的有效。試圖與CheckPassword函數進行比較將不起作用。我對通過我用來解密哈希的每個函數發出的每個字符串進行了大量調試，並得出結論：由bcrypt生成的哈希值非常隨機。所以，新生成的明文密碼的哈希將永遠不會匹配我的數據庫中的密碼。真的嗎？如果是這樣，我該如何讓它工作？源代碼相當簡單。

// when creating user 
<db insert code>$hash->HashPassword($_POST['password']); 

// when logging in 
return $hash->CheckPassword($user->password, $_POST['password']); 

Answer 1

編輯： 問題是你有順序不對，你所需要的密碼，然後存儲的哈希值。

$check = $hasher->CheckPassword($password, $stored_hash); 

Source

這個問題，因爲我之前說的（下）存儲的哈希來決定如何散列密碼進行比較，從而你的不對了參數順序會導致失敗。從之前

答：

你不解密的哈希，您可以通過相同的方式散列可比數據進行檢查。 BCrypt哈希包括哈希，鹽和輪次數，所以在檢查時應該沒有問題。

哈希從不相同的原因是鹽每次都會有所不同。這是爲了防止彩虹表攻擊。

據我所知，你的支票是健全的。問題必須在別處。你確定$user->password實際上包含完整的哈希值嗎？ BCrypt哈希是60個字符，因此請確保它不被截斷。