使用bcrypt获取用户密码

Question

我正在使用phpass的bcrypt功能在我的网站上查找密码。 现在，它不会真的有效。试图与CheckPassword函数进行比较将不起作用。我对通过我用来解密哈希的每个函数发出的每个字符串进行了大量调试，并得出结论：由bcrypt生成的哈希值非常随机。所以，新生成的明文密码的哈希将永远不会匹配我的数据库中的密码。真的吗？如果是这样，我该如何让它工作？源代码相当简单。

// when creating user 
<db insert code>$hash->HashPassword($_POST['password']); 

// when logging in 
return $hash->CheckPassword($user->password, $_POST['password']); 

Answer 1

编辑： 问题是你有顺序不对，你所需要的密码，然后存储的哈希值。

$check = $hasher->CheckPassword($password, $stored_hash); 

Source

这个问题，因为我之前说的（下）存储的哈希来决定如何散列密码进行比较，从而你的不对了参数顺序会导致失败。从之前

答：

你不解密的哈希，您可以通过相同的方式散列可比数据进行检查。 BCrypt哈希包括哈希，盐和轮次数，所以在检查时应该没有问题。

哈希从不相同的原因是盐每次都会有所不同。这是为了防止彩虹表攻击。

据我所知，你的支票是健全的。问题必须在别处。你确定$user->password实际上包含完整的哈希值吗？ BCrypt哈希是60个字符，因此请确保它不被截断。