Laravel框架用户认证模块改造为MD5加盐密码验证方法

2023 年 12 月 22 日

162 次浏览

3053字数

Laravel框架默认使用了Hashing API来实现密码的加密，这是利用bcrypt算法实现的，为了保证密码安全性，算法内建了工作因子和盐，使得密码在存储和验证时更加安全。但如果你需要改造用户认证模块，使用MD5加盐的方式来验证用户密码，以下是实现的步骤：

创建加密辅助函数:
要使用MD5加盐方式，首先需要一个函数来处理加密过程。选择一个固定的盐或者为每个用户生成一个唯一的盐，并将密码和盐混合后再进行MD5加密。函数如下示例:

function md5_salt($password, $salt) {
    return md5($password . $salt);
}

生成盐的存储策略:
在用户注册和保存用户信息时，也需要生成并存储盐的值。盐可以是一个随机字符串，也可以是基于一些用户信息的哈希。例如：

function generate_salt() {
    return Str::random(10);
}

在用户模型中添加一个 $salt 字段，用来存储用户的盐值。

修改用户注册逻辑:
在用户注册时，除了保存用户提交的其它信息，还需要使用上述的 generate_salt 函数生成盐，并使用 md5_salt 函数保存加盐后的密码。

$user = new User;
$user->salt = generate_salt();
$user->password = md5_salt($request->password, $user->salt);
$user->save();

修改认证逻辑:
Laravel的用户认证是通过Auth Facade和User Provider来实现的。你需要自定义User Provider来改变密码验证的逻辑。

首先在 auth.php 配置文件中配置新的provider：

'providers' => [
    'users' => [
        'driver' => 'custom',
        'model' => App\Models\User::class,
    ],
],

接下来创建自定义User Provider：

namespace App\Extensions;

use Illuminate\Contracts\Auth\UserProvider;
use Illuminate\Contracts\Auth\Authenticatable as UserContract;

class CustomUserProvider implements UserProvider {
    // 实现所有接口必须的方法...

    public function validateCredentials(UserContract $user, array $credentials) {
        $plain = $credentials['password'];
        return md5_salt($plain, $user->getAuthSalt()) === $user->getAuthPassword();
    }
}

同时必须在你的用户模型中实现 getAuthSalt() 方法，用来获取用户的盐值。

注册自定义User Provider:
在 AuthServiceProvider 的 boot 方法中注册自定义User Provider。

use Auth;
use App\Extensions\CustomUserProvider;

public function boot() {
    Auth::provider('custom', function($app, array $config) {
        // 返回 CustomUserProvider 实例
        return new CustomUserProvider($app['hash'], $config['model']);
    });
}