存储密码进行用户登录

Question

可能重复：
How do you use bcrypt for hashing passwords in PHP?

我研究加密和存储在登录数据库的用户密码的最佳和最安全的方法。我碰到的一篇文章，Salted Password Hashing - Doing it Right，提供了一个相当复杂的功能，用于加密和检查密码。

我明白代码是如何工作的，但文章中还提到不仅在数据库中存储哈希密码，而且还在盐中存储哈希密码。如何使用给定的代码去做这件事？例如：

// User registers with username and password; assume they're already validataed 
$hash = create_hash($password_entered); 
$password_hash = $hash[HASH_PBKDF2_INDEX]; 
$salt = $hash[HASH_SALT_INDEX]; 

$PDO = new PDO('mysql:host=localhost;dbname=myDatabase', $username, $password); 
$statement = $PDO->prepare('INSERT INTO users (username, password, user_salt) 
    VALUES (:username, :password; :user_salt)'); 
$statement->execute(array(
    ':username' => $username_entered, 
    ':password' => $password_hash, 
    ':user_salt' => $salt, 
)); 

这似乎是正确的。但是，验证登录的时候，我不知道检查什么对从登录表单输入的密码。由create_hash()返回的编译散列给出了冒号分隔的值列表。我只是不确定该从哪里下载，或者如果这个源代码甚至值得使用。

Answer 1

我还没有使用这段代码，但我敢肯定你不应该将user_salt单独保存在用户表的一列中。用户salt将包含在散列中（位于冒号分隔的散列中的位置3）。在您的登录脚本，得到密码的用户已经进入，并调用以下功能：

// here run a query and get the hashed password from the users table and put the 
// hashed value in $hashed_password_from_database 
// $user_enetered_password usually comes from $_POST 

if (validate_password($user_entered_password, $hashed_password_from_database)) { 
    // login successful 
} else { 
    // login failed 
} 

Answer 2

为了验证登录，使用下面的函数，你发布的链接上发现，随着$password而密码由输入用户试图登录，并$good_hash是PBKDF2_HASH_ALGORITHM . ":" . PBKDF2_ITERATIONS . ":" . $salt_from_db . ":" . $hash_from_db

function validate_password($password, $good_hash) 
{ 
    $params = explode(":", $good_hash); 
    if(count($params) < HASH_SECTIONS) 
     return false; 
    $pbkdf2 = base64_decode($params[HASH_PBKDF2_INDEX]); 
    return slow_equals(
     $pbkdf2, 
     pbkdf2(
      $params[HASH_ALGORITHM_INDEX], 
      $password, 
      $params[HASH_SALT_INDEX], 
      (int)$params[HASH_ITERATION_INDEX], 
      strlen($pbkdf2), 
      true 
     ) 
    ); 
}