Yii 2 —— 密码加密算法

最新推荐文章于 2022-07-16 14:04:56 发布
最新推荐文章于 2022-07-16 14:04:56 发布
阅读量248 收藏
点赞数
文章标签: php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33932129/article/details/85077527
版权

1.1  密码加密算法

参考文档:

1、更新后的 PHP: 现代 PHP 中的密码安全性

2、http://php.net/manual/zh/function.password-hash.php

3、http://php.net/manual/zh/function.password-verify.php

1.1.1  user表结构

Yii 2默认用user表保存账号信息,包括用户的密码,user表结构如下:

id


username

账号

auth_key


password_hash

保存密码的hash

password_reset_token

忘记密码,重置密码用的token

email


status


created_at


updated_at


 

1.1.2  核心知识点

1.1.2.1加密

PHP 5.5以后,提供了新的密码加密函数password_hash(),这个加密函数有三个参数,第一个参数就是待加密的密码,第二个参数是加密算法,推荐使用PASSWORD_DEFAULT,这样可以随着PHP的升级,自动选用新的升级算法,第三个参数是加密算法执行次数,一般来说次数越多,密码强度越大,但是花费的时间越多。

1.1.2.2校验

使用password_hash()加密时,每调用一次就会使用新的solt,所以即使是同样的密码,每次调用password_hash()的结果都是不一样的。

一般传统的MD5类方式加密密码时,判断输入的密码是否正确,就是重新用加密算法把密码再加密一次,然后判断加密的结果与数据库中保存的是否一致。现在使用这样的方式来校验密码自然是不行的了(注:ecshopectouch就是用这种方法存密码的)。

PHP提供了password_verify()函数用来校验密码是否正确,这个函数有两个参数,第一个是用户输入的密码,第二个参数是事先保存的密码hash值。既然每次调用password_hash()的返回值都不一样,那password_verify()又是怎么确认密码是正确的呢?

 

根据PHP官网对于该函数的说明:

“注意 password_hash() 返回的哈希包含了算法、 cost 和盐值。 因此,所有需要的信息都包含内。使得验证函数不需要储存额外盐值等信息即可验证哈希。”

1.1.3  Yii 2的封装

Yii 2提供了一个Security类,将上面的密码加密和验证函数封装起来,并且增加了对于低版本PHP的支持。

  • generatePasswordHash

生成密码的哈希值,调用password_hash()实现。

  • validatePassword

校验密码是否正确,调用password_verify()实现。

 

在框架中使用Security类,无需自己初始化,Yii 2框架已经默认创建了Security类的实例,使用如下代码访问即可:

Yii::$app->security->validatePassword($password, $this->password_hash);

//或者

Yii::$app->getSecurity()->hashData(serialize([$cookie->name, $value]), $validationKey)

 

Security类的初始化?在base\Application.php中的preInit()函数中调用coreComponents()函数获得所配置的security属性对应的类路径:

public function coreComponents()
 {
     return [
         'log' => ['class' => 'yii\log\Dispatcher'],
         'view' => ['class' => 'yii\web\View'],
         'formatter' => ['class' => 'yii\i18n\Formatter'],
         'i18n' => ['class' => 'yii\i18n\I18N'],
         'mailer' => ['class' => 'yii\swiftmailer\Mailer'],
         'urlManager' => ['class' => 'yii\web\UrlManager'],
         'assetManager' => ['class' => 'yii\web\AssetManager'],
         'security' => ['class' => 'yii\base\Security'],
     ];
 }

1.1.4  题外话 —— 时序***

Security类的代码发现,其有一个compareString()函数,从功能上分析,它就是比较两个字符串是否相等,但是为什么不直接使用“==”来比较呢?看这个函数的说明:“Performs string comparison using timing attack resistant approach”。

 

这里的“timing attack”(时序***)引起了我的兴趣,于是了解了一下,原来是有些破解算法是根据目标系统的运行时间,来推测出加密算法的一些信息,从而降低破解难度,提高破解速度,真的是很有意思的一种破解思路。

 

参考文献:

如何通俗地解释时序***(timingattack)?


weixin_33932129
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Yii2处理密码加密及验证的方法
10-17
主要介绍了Yii2处理密码加密及验证的方法,非常不错,具有一定的参考借鉴价值 ,需要的朋友可以参考下
Yii2.0 密码加密密码校验
2lovecode blog
08-22 8986
1.Yii2.0加密及校验: 加密:$hash_password = Yii::$app->security->generatePasswordHash('123456'); 校验:$bool = Yii::$app->security->validatePassword($password, $hash_password); $password为输入的密码,它是没有经过加密的字符串
Yii2 加密
青崖梦
10-25 283
在本节中,我们将回顾以下安全问题: 生成随机数据 加密和解密 确认数据完整性 生成伪随机数据(Generating Pseudorandom Data) 伪随机数据在很多情况下都很有用。 例如,当通过电子邮件重置密码时, 您需要生成一个令牌,将其保存到数据库中,并通过电子邮件发送给最终用户, 这反过来又会允许他们证明该帐户的所有权。 这个令牌是独一无二且难以猜测的,否则攻击者可能会预测令牌的值并重置用户的密码Yii 安全助手类简单生成伪随机数据: $key = Yii::$app->
Yii2.0安全之加密/解密
红尘炼炼心的博客
12-15 3564
LZ最近编写API接口时,应用到了安全验证(众所周知,接口的安全是非常重要的),因为使用的是Yii2.0框架,所以了解了一下Yii本身的加密/解密方法!!!此前也曾使用并总结API接口[详情版],不过缺少Token的使用,此处正好进行进一步的补充,也可查看了解Api接口的编写规范。Yii提供了方便的助手功能,允许你使用安全密钥对数据进行加密/解密。数据通过加密函数传递,只有拥有密钥的人才能够解。
yii2加密解密那些事儿
weixin_34288121的博客
06-10 272
我们做程序的时候,加密解密是绕不开的话题,使用yii2开发应用的时候,都内置了哪些有关加密解密(安全)方便的支持那?本文将为你揭晓。 相关环境 操作系统及IDE macOS 10.13.1 & PhpStorm2018.1.2 软件版本 PHP7.1.8 Yii2.0.14 在yii2中,管理加密解密的库叫做Security,...
yii2加密方法
大彪哥的博客
08-04 1955
Yii提供了方便的帮助函数来让你用一个安全秘钥来加密解密数据。数据通过加密函数进行传输,这样只有拥有安全秘钥的人才能解密。比如,我们需要存储一些信息到我们的数据库中,但是,我们需要保证只有拥有安全秘钥的人才能看到它(即使应用的数据库泄露)只有知道自己设置的加密密码才能够成功的解密 $data是你要加密的内容, $selfpwd是你自己设置的密码, 下面,我们就看一下实现的功能 代码实现
Yii2框架可逆加密简单实现方法
10-19
主要介绍了Yii2框架可逆加密简单实现方法,涉及Yii框架encryptByPassword()与decryptByPassword()函数简单使用方法,需要的朋友可以参考下
Yii2——使用数据库操作汇总(增删查改、事务)
10-20
本篇文章主要介绍了Yii2——使用数据库操作汇总,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Yii2处理密码加密及验证
幽篁晓筑的博客
05-12 727
Yii2中提供了密码加密以及验证的一系列方法,方便我们的使用,它使用的是bcrypt算法。查看源码我们可以发现它使用的是PHP函数password_hash()和crypt()生成。 加密: /** * $password 要加密密码 * $hash 加密后的hash字符串 */ $hash = Yii::$app->getSecurity()->g...
Yii2框架之Cookie加密
IT部落格
06-17 5669
cookie在发送到客户端之前如果不经任何加密,会很容易被伪造,下面我们来简单介绍下Yii2框架是怎么对cookie进行加密的。$cookie = new yii\web\Cookie([ 'name' => 'username', 'value' => 'test', ]); Yii::$app->response->getCookies()->add($cookie);首先,我们
SM3加密与解密校验
热门推荐
weixin_42123075的博客
07-16 2万+
SM3密码杂凑算法是中国国家密码管理局2010年公布的中国商用密码杂凑算法标准。具体算法标准原始文本参见参考文献[1]。该算法于2012年发布为密码行业标准(GM/T0004-2012),2016年发布为国家密码杂凑算法标准(GB/T32905-2016)。SM3适用于商用密码应用中的数字签名和验证,是在[SHA-256]基础上改进实现的一种算法,其安全性和SHA-256相当。SM3和MD5的迭代过程类似,也采用Merkle-Damgard结构。消息分组长度为512位,摘要值长度为256位。...
yii2 password hash生成与验证方法
weixin_30663471的博客
07-29 159
1.生成 $password是明文.如:123456 $this->password_hash = Yii::$app->security->generatePasswordHash($password); 2.验证 $password是明文.如:123456,$password_hash是用上面方法生面的password hash,返回true与false Yii::...
Yii2加密
人生不过是一场旅行,你路过我,我路过你,各自向前,各自修行。
08-17 282
其实就2句话就可以写完1. 把里面的$password 进行加密Yii::$app->getSecurity()->generatePasswordHash($password);2. 根据加密算法,把输入的password和数据库的password和数据库的hash进行对比Yii::$app->getSecurity()->validatePassword($password,$hash);注意点
yii2.0 处理密码
likaibk的博客
02-24 588
大部分开发者知道密码不能以明文形式存储,但是许多开发者仍认为使用 md5 或者 sha1 来哈希化密码是安全的。 一度,使用上述的哈希算法是足够安全的,但是, 现代硬件的发展使得短时间内暴力破解上述算法生成的哈希串成为可能。为了即使在最糟糕的情况下(你的应用程序被破解了)也能给用户密码提供增强的安全性, 你需要使用一个能够对抗暴力破解攻击的哈希算法。目前最好的选择是 bcrypt。在 PHP 中,
php yii2验证密码登录,Yii2用户密码加密后验证问题
weixin_35971708的博客
04-02 392
使用Yii2框架,密码字段为pass,rules中设定的pass长度范围为6-20;原密码为123456789,校验通过没有问题,hash后存入数据库,hash后的值肯定超过范围了。此时pass字段值为hash后的值,没有保存原密码,不可逆加密。当我更新用户数据的时候$userInfo = User::findOne(['id'=>1]);$userInfo->last_time = ...
yii2.0 加密解密处理方法
09-05 7731
加密与解密: Yii提供了方便的帮助函数来让你用一个安全秘钥来加密解密数据。数据通过加密函数进行传输,这样只有拥有安全秘钥的人才能解密。比如,我们需要存储一些信息到我们的数据库中,但是,我们需要保证只有拥有安全秘钥的人才能看到它(即使应用的数据库泄露) $data 是你要加密的内容, $secretKey 是你自己设置的密码, 1
YII2中自定义用户认证模型,完成登陆和注册
weixin_34375251的博客
03-28 520
有些时候我们需要自已定义用户类,操作自已建的用户表,来完成登陆和注册功能。 用户表结构如下,当然可以根据自已的需要添加或删除: CREATE TABLE `tb_user` ( `id` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '用户ID', `name` varchar(32) DEFAULT '' COMMENT '...
summernote yii2
最新发布
01-16
它可以方便地集成到Yii2框架中,使用户能够在网页上进行富文本编辑。 首先,我们需要在Yii2项目中安装summernote插件。可以通过Composer来安装,只需要在终端输入命令"composer require 2amigos/yii2-summmernote-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值