使用 `password_hash()` 散列密码后，为什么验证时输入的密码似乎不匹配，但仍然成功？

一分耕耘，一分收获！既然都打开这篇《使用 `password_hash()` 散列密码后，为什么验证时输入的密码似乎不匹配，但仍然成功？》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新文章相关的内容，希望对大家都有所帮助！

password_hash() 密码散列的可靠性

许多开发人员可能会遇到这样的情况：用户输入的密码似乎与哈希后的存储密码不匹配，但实际情况并非如此。针对密码哈希函数 password_hash() 的使用提出了一个问题。

问题内容

开发人员将用户输入的密码使用 password_hash() 函数进行哈希处理，然后将其存储在数据库中。然而，在验证用户凭据时，输入的密码似乎与存储的哈希密码不同，但验证仍然成功。

问题解答

默认情况下，password_hash() 使用 bcrypt 算法生成密码散列，该算法以其稳健性和安全性而闻名。抄录用户输入的代码执行后：

    public function hashPassword(string $password)
    {
        return password_hash($password, PASSWORD_DEFAULT);
    }

其中：
password_default表示使用 bcrypt 算法。

bcrypt 算法相对较慢，因此很难使用暴力破解或彩虹表攻击来还原原始密码。这就是为什么使用 password_hash() 存储的哈希密码被认为是可靠的。

与哈希算法无关，所描述的“明明输入的密码不正确，但还是通过了”的情况可能另有原因。由于代码中没有包含业务逻辑来验证密码匹配性，因此无法确定此问题的根源。

今天关于《使用 `password_hash()` 散列密码后，为什么验证时输入的密码似乎不匹配，但仍然成功？》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！