Yii 2 —— 密碼加密算法

1.1  密碼加密算法

參考文檔：

1、更新后的 PHP: 現(xiàn)代 PHP 中的密碼安全性；

2、http://php.net/manual/zh/function.password-hash.php

3、http://php.net/manual/zh/function.password-verify.php

1.1.1  user表結(jié)構(gòu)

Yii 2默認用user表保存賬號信息，包括用戶的密碼，user表結(jié)構(gòu)如下：

1.1.2  核心知識點

1.1.2.1加密

PHP 5.5以后，提供了新的密碼加密函數(shù)password_hash()，這個加密函數(shù)有三個參數(shù)，第一個參數(shù)就是待加密的密碼，第二個參數(shù)是加密算法，推薦使用PASSWORD_DEFAULT，這樣可以隨著PHP的升級，自動選用新的升級算法，第三個參數(shù)是加密算法執(zhí)行次數(shù)，一般來說次數(shù)越多，密碼強度越大，但是花費的時間越多。

1.1.2.2校驗

使用password_hash()加密時，每調(diào)用一次就會使用新的solt，所以即使是同樣的密碼，每次調(diào)用password_hash()的結(jié)果都是不一樣的。

一般傳統(tǒng)的MD5類方式加密密碼時，判斷輸入的密碼是否正確，就是重新用加密算法把密碼再加密一次，然后判斷加密的結(jié)果與數(shù)據(jù)庫中保存的是否一致?，F(xiàn)在使用這樣的方式來校驗密碼自然是不行的了（注：ecshop和ectouch就是用這種方法存密碼的）。

PHP提供了password_verify()函數(shù)用來校驗密碼是否正確，這個函數(shù)有兩個參數(shù)，第一個是用戶輸入的密碼，第二個參數(shù)是事先保存的密碼hash值。既然每次調(diào)用password_hash()的返回值都不一樣，那password_verify()又是怎么確認密碼是正確的呢？

根據(jù)PHP官網(wǎng)對于該函數(shù)的說明：

“注意 password_hash() 返回的哈希包含了算法、 cost 和鹽值。 因此，所有需要的信息都包含內(nèi)。使得驗證函數(shù)不需要儲存額外鹽值等信息即可驗證哈希?！?/span>

1.1.3  Yii 2的封裝

Yii 2提供了一個Security類，將上面的密碼加密和驗證函數(shù)封裝起來，并且增加了對于低版本PHP的支持。

• generatePasswordHash

生成密碼的哈希值，調(diào)用password_hash()實現(xiàn)。

• validatePassword

校驗密碼是否正確，調(diào)用password_verify()實現(xiàn)。

在框架中使用Security類，無需自己初始化，Yii 2框架已經(jīng)默認創(chuàng)建了Security類的實例，使用如下代碼訪問即可：

Security類的初始化？在base\Application.php中的preInit()函數(shù)中調(diào)用coreComponents()函數(shù)獲得所配置的security屬性對應(yīng)的類路徑：

1.1.4  題外話 —— 時序***

看Security類的代碼發(fā)現(xiàn)，其有一個compareString()函數(shù)，從功能上分析，它就是比較兩個字符串是否相等，但是為什么不直接使用“==”來比較呢？看這個函數(shù)的說明：“Performs string comparison using timing attack resistant approach”。

這里的“timing attack”（時序***）引起了我的興趣，于是了解了一下，原來是有些破解算法是根據(jù)目標系統(tǒng)的運行時間，來推測出加密算法的一些信息，從而降低破解難度，提高破解速度，真的是很有意思的一種破解思路。

參考文獻：

如何通俗地解釋時序***(timingattack)?