比较BCrypt散列和Bcrypt散列PHP

Question

这就是我要面对的问题。

我有一个iPhone的应用程序，我正在建设，与我的网站上受密码保护的页面进行通信。该应用程序可以很好地通过密码保护，并且可以很好地从页面获得响应。问题是，当我试图从我的应用程序登录网站时，它被拒绝了。我相信这是因为我在将密码发送到网站之前，在应用程序中使用Bcrypt对密码进行了哈希处理，然后使用password_verify()进行检查，它当然会采用密码的纯文本，然后是哈希版本，但我给了它两个哈希版本的相同内容，它是不接受的。

我的问题是:是否可以使用password_verify或其他函数来比较这两个加密的密码？如果没有，是否足够安全(我敢说)从应用程序以纯文本形式发送密码？

提前感谢大家！

Answer 1

是否可以使用password_verify或其他函数比较这两个加密的密码？

不是的。password_verify需要明文密码和以前的散列形式的密码，并将嵌入的salt作为其输入，这是没有办法的。算法是这样的，您需要再次使用salt来生成相同的散列，因此，您唯一的其他选择就是将散列/salt传输到客户端，以便在客户端重新生成算法。但这是没有意义的，因为您希望在服务器上进行密码确认，而不是在不值得信任的客户端上。

，如果不是，是否足够安全(我敢说)从应用程序发送明文密码？

当然，只要通信通道是安全的，这意味着您有SSL连接。