我需要base64编码我的盐（哈希密码）吗？

Question

对不起，这个很奇怪的问题。我理解用于传输数据的base64编码（即MIME的Base64编码）的目的，但我不知道是否需要对base64编码我的盐。

我写了一个实用工具类（抽象基类确实）：

use Symfony\Component\Security\Core\Encoder\BasePasswordEncoder; 

abstract class AbstractCryptPasswordEncoder extends BasePasswordEncoder 
{ 
    /** 
    * @return string 
    */ 
    protected abstract function getSaltPrefix(); 

    /** 
    * @return string 
    */ 
    protected abstract function getSalt(); 

    /** 
    * {@inheritdoc} 
    */ 
    public function encodePassword($raw, $salt = null) 
    { 
     return crypt($raw, $this->getSaltPrefix().$this->getSalt()); 
    } 

    /** 
    * {@inheritdoc} 
    */ 
    public function isPasswordValid($encoded, $raw, $salt = null) 
    { 
     return $encoded === crypt($raw, $encoded); 
    } 
} 

真正的实现类将是：

class Sha512CryptPasswordEncoder extends AbstractCryptPasswordEncoder 
{ 
    /** 
    * @var string 
    */ 
    private $rounds; 

    /** 
    * @param null|int $rounds The number of hashing loops 
    */ 
    public function __construct($rounds = null) 
    { 
     $this->rounds = $rounds; 
    } 

    /** 
    * {@inheritdoc} 
    */ 
    protected function getSaltPrefix() 
    { 
     return sprintf('$6$%s', $this->rounds ? "rounds={$this->rounds}$" : ''); 
    } 

    /** 
    * {@inheritdoc} 
    */ 
    protected function getSalt() 
    { 
     return base64_encode(openssl_random_pseudo_bytes(12)); 
    } 
} 

的关键部分是盐的产生，这将嵌入密码：我是否需要base64_encode出于任何原因（存储），假设它永远不会通过电线发送？

Answer 1

每个散列算法都需要给定字母表中的盐，这意味着使用base64_encode()可能是正确的，但它通常不会使用完整字母表或返回不在此字母表中的字符。

以BCrypt为例，这是一个很好的密码散列算法（SHA-512不适合，因为它太快），它接受除了'+'字符之外的所有base64编码字符的字符。另一方面它接受'。'不属于base64编码字符串的字符。

PHP 5.5将准备好函数password_hash()和password_verify()，使BCrypt的使用更容易，我真的可以推荐它们。还有一个compatibility pack可用于较老的PHP版本，在第121行中，您可以看到base64_encode()确实被使用，但之后所有无效的“+”字符都被替换为允许的'。'。人物：

编码盐为BCrypt：

$salt = str_replace('+', '.', base64_encode($buffer)); 

Answer 2

BASE64用于将二进制数据编码为文本表示。它允许使用文本通道传输二进制数据。如果您想在数据库中存储散列密码，则不必对其进行编码 - 它已经是文本格式。