Согласно документации crypt () , соль должна составлять 22 из 64 цифр от алфавита "./0-9A-Za-z".
Вот пример кода, который они дают:
crypt('rasmuslerdorf', '$2a$07$usesomesillystringforsalt$');
Первая запутанная часть состоит в том, что соль имеет 25 символов, а не 22.
Вопрос № 1: Означает ли это, что соль должна быть длиннее , чем 22 символа?
Потом я сам проверил функцию и кое-что заметил. Если я использую соль из 20 символов, я получу это
// using 20 char salt: 00000000001111111111
crypt('rasmuslerdorf', '$2a$07$00000000001111111111$');
// $2a$07$00000000001111111111$.6Th1f3O1SYpWaEUfdz7ieidkQOkGKh2
Итак, когда я использовал соль из 20 символов, вся соль была в выводе. Что удобно, потому что мне не нужно хранить соль в отдельном месте. (Я хочу использовать случайные соли). Я мог бы прочитать соль обратно из сгенерированного хеша.
Однако, если я использую соль из 22 символов, как написано в документации, или более длинную, соль в конце отсекается.
// using 22 char salt: 0000000000111111111122
crypt('rasmuslerdorf', '$2a$07$0000000000111111111122$');
// $2a$07$000000000011111111112uRTfyYkWmPPMWDRM/cUAlulrBkhVGlui
// 22nd character of the salt is gone
// using 25 char salt: 0000000000111111111122222
crypt('rasmuslerdorf', '$2a$07$0000000000111111111122222$');
// $2a$07$000000000011111111112uRTfyYkWmPPMWDRM/cUAlulrBkhVGlui
// Same hash was generated as before, 21 chars of the salt are in the hash
Вопрос № 2: Итак, какова точная длина соли? 20? 22? Longer?
Вопрос № 3: Кроме того, это хорошая идея, чтобы прочитать соль из хэша, когда пришло время проверить пароли? Вместо того, чтобы хранить соль в отдельном поле и читать ее оттуда. (Который кажется избыточным, так как соль, кажется, включена в хеш).