新在Symfo欧宝娱乐app下载地址ny 4.3:本机密码编码器
2019年5月17日·发表的哈维尔Eguiluz
警告:这篇文章是关于一个不受支持的Symfony的版本。欧宝娱乐app下载地址其中一些信息可能是过时了。阅读最近的Symfony文档欧宝娱乐app下载地址。
提供的
尼古拉斯Grekas
在# 31140和# 31170。
哈希密码是一种良好的安全系统中最关键的部分。在Sy欧宝娱乐app下载地址mfony 4.3我们添加了一个钠密码编码器散列(或“编码”Sym欧宝娱乐app下载地址fony称之为由于历史原因)密码使用libsodium图书馆。
然而,鉴于侍者的快节奏发展的本质,这是越来越少,建议选择一个特定的散列算法。甚至PHP的password_hash ()函数定义了一个特殊的PASSWORD_DEFAULT
值自动选择最好的散列算法可用(这仍然是Bcrypt在当前的PHP版本,但在未来它会改变)。
这就是为什么在Symfony欧宝娱乐app下载地址 4.3我们做了一些更改相关密码编码器。首先,用户密码散列的新建议是依赖“汽车”
值:
1 2 3 4 5 6 7 8 9
#配置/包/安全。yaml安全:#……编码器:应用实体\ \用户:——“bcrypt”算法:——“argon2i”算法:——算法:“钠”+算法:“汽车”
这个值自动选择最好的散列算法,所以它不指一个特定的算法和它在未来将会改变。当前的实现使用“钠”
如果可能的话,否则,它落回“本地”
。
的“本地”
配置相关选项NativePasswordEncoder
类,它是另一个厨师在Symfony 4.3主要改变密码。欧宝娱乐app下载地址这个新的编码器都依赖Symfony和PHP来选择最好的算法。欧宝娱乐app下载地址
当前的NativePasswordEncoder
实现试图使用任何Argon2变体(Argon2i或Argon2id)之前回Bcrypt下降。然而,如果PASSWORD_DEFAULT
PHP在未来不断变化,新算法将选择(如果PHP将它定义为比Argon2)。
发表在#生活在边缘
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。
不让这个过程太麻烦?
@Josef正在讨论4.4,见https://github.com/symfony/symfony/pull/31153欧宝娱乐app下载地址
所以弃用后,建议:
>配置编码器与“xxx”算法是弃用,因为Symfony 4.3,使用“汽车”。欧宝娱乐app下载地址
导致认证失败