如果我增加了bcrypt成本，我是否必须重新刷新已经注册的用户密码？

Question

我只是深入了解Symfony2，并且只是让我自己的用户提供者运行。 ATM我使用brypt，成本为12美元。如果我现在增加成本，bcrypt应该再次刷新密码！？！但是，我如何坚持新的密码到数据库？

Answer 1

您可以随时更改成本，因为您可以在official symfony2 docs中阅读，因此您不需要重新刷新旧密码，因为它们会自动处理旧费用（并且如果您希望强制用户进入未来可以像在许多大型网站中一样改变他们的密码）。

Answer 2

所以你有两种选择，您无法扭转的哈希函数：

1. 用户强制插入新的密码或...

2. 更新哈希作为用户再次登录到您的系统（您可以强制启动cookie和允许用户登录的会话，而无需重新输入密码）。该解决方案将允许您的用户使用旧的散列登录，同时您将用新的散列更新旧的散列。下次用户登录时，脚本将使用新版本的散列登录用户。

在这个例子中，我已经使用MD5作为哈希，我想更新与成本= 12 BCRYPT但随时将其更改为任何你所需要的。从BCRYPT成本= 10变为BCRYPT成本= 12也可以工作或任何其他组合。考虑这个例子：

$passwordFromDatabase = "0d107d09f5bbe40cade3de5c71e9e9b7"; // md5 hash of "letmein" 
$passwordFromForm = $_POST['password']; // $_POST['password'] == "letmein" 

if(password_needs_rehash($passwordFromDatabase, PASSWORD_BCRYPT, ["cost" => 12]) && md5($passwordFromForm) === $passwordFromDatabase){ 
    // generate new password 
    $newPasswordHash = password_hash($passwordFromForm, PASSWORD_BCRYPT, ["cost" => 12]); 
    // update hash from databse - replace old hash $passwordFromDatabase with new hash $newPasswordHash 
    // after update login user 
    if(password_verify($passwordFromForm, $newPasswordHash)){ 
     // user has logged in successfully and hash was updated 
     // redirect to user area 
    }else{ 
     // ups something went wrong Exception 
    } 
}else{ 
    if(password_verify($passwordFromForm, $passwordFromDatabase)){ 
     // user password hash from database is already BCRYPTed no need to rehash 
     // user has logged in successfully 
     // redirect to user area 
    }else{ 
     // wrong password 
     // no access granted - stay where you are 
    } 
} 

我更喜欢第二个选项:)。做出自己的选择。如果您选择第二个选项，并选择不踢出允许用户在未提供密码的情况下登录的cookie和会话，那也可以......变更将发生在超时。没有人会注意到这一变化。