Pwned Validator 使用指南

Pwned Validator 使用指南

pwned-validatorSuper simple Laravel Validator for checking password via the Pwned Passwords service of Have I Been Pwned项目地址:https://gitcode.com/gh_mirrors/pw/pwned-validator

1. 项目介绍

Pwned Validator 是一个专为 Laravel 设计的密码安全验证器，其灵感源自于 Have I Been Pwned 的 Pwned Passwords 服务。该项目由 Valorin 开发，旨在提升密码安全性，确保用户在注册或更改密码时，不会选用那些因数据泄露而变得不安全的密码。通过仅上传密码的前五个哈希字符至服务端，Pwned Validator 在保证用户隐私的同时，有效检验密码是否曾经出现在大型数据泄露事件中。

2. 项目快速启动

安装

首先，确保你的 Laravel 项目已经准备好，并且至少支持 PHP 7.4 或更高版本。接下来，通过 Composer 添加 Pwned Validator 到你的 Laravel 项目依赖中：

composer require valorin/pwned-validator

安装完成后，你需要在 Laravel 的验证规则中启用 pwned 规则。这通常在 app/Providers/AppServiceProvider.php 中的 boot 方法内完成，添加以下代码：

use Valorin\Pwned\Pwned;

public function boot()
{
    Validator::extend('pwned', '\Valorin\Pwned\Pwned@validate');
}

之后，在你的验证逻辑中使用 pwned 规则，例如用户注册时的密码验证：

use Illuminate\Support\Facades\Validator;

$data = request()->all();
$validator = Validator::make($data, [
    'password' => ['required', 'string', 'min:6', 'pwned', 'confirmed'],
]);

这样，Laravel 就会在验证过程中检查密码是否已在数据泄露中被泄露。

3. 应用案例和最佳实践

个人用户

• 密码检查：在使用新密码前，个人用户可以通过此验证器进行检查，保障密码未被泄露。

开发者

• 注册流程：集成 pwned 规则到注册表单，防止新建账号使用已知的弱密码。
• 密码重置：在密码重置场景中应用同样重要，确保用户不能设置一个已泄露的密码。

最佳实践

• 教育用户：向用户解释为何密码需要强度高且未被泄露，增加用户对密码安全性的认识。
• 定期更新：保持项目更新，以利用最新版的漏洞数据库和改进的功能。

4. 典型生态项目

虽然本教程专注于 Laravel 生态中的 Pwned Validator，但值得注意的是，类似的验证逻辑可通过其他语言和框架实现，比如 Django 的 django-pwned-validator，它也利用了 Have I Been Pwned API 来增强密码安全性。不同平台的开发者可以根据各自的技术栈选择对应的开源解决方案，共同构建更安全的互联网环境。

---

通过遵循以上步骤，你可以高效地整合和利用 Pwned Validator，加强你的 Laravel 应用程序的密码安全策略，保护用户免受已泄露密码的威胁。记得持续关注项目更新，以充分利用最新的安全特性。

pwned-validatorSuper simple Laravel Validator for checking password via the Pwned Passwords service of Have I Been Pwned项目地址:https://gitcode.com/gh_mirrors/pw/pwned-validator