一、简介

今天要给大家介绍的一种“加密”算法叫做 bcrypt，bcrypt 是由 Niels Provos 和 David Mazières 设计的密码哈希函数，他是基于 Blowfish 密码而来的，并于 1999 年在 USENIX 上提出。

除了加盐来抵御 rainbow table 攻击之外，bcrypt 的一个非常重要的特征就是自适应性，可以保证加密的速度在一个特定的范围内，即使计算机的运算能力非常高，可以通过增加迭代次数的方式，使得加密速度变慢，从而可以抵御暴力搜索攻击。

bcrypt 函数是 OpenBSD 和其他系统包括一些 Linux 发行版（如 SUSE Linux）的默认密码哈希算法。

二、bcrypt 的工作原理

Bcrypt有四个变量：

1. saltRounds：正数，代表 hash 杂凑次数，数值越高越安全，默认 10 次。
2. myPassword：明文密码字符串。
3. salt：盐，一个 128bits 随机字符串，22 字符。
4. myHash：经过明文密码 password 和盐 salt 进行 hash，个人的理解是默认10次 ，循环加盐hash10 次，得到 myHash。

每次明文字符串 myPassword 过来，就通过 10 次循环加盐 salt 哈希后得到 myHash，然后拼接 BCrypt 版本号 + salt 盐 + myHash 得到最终的 bcrypt 密码 ，存入数据库中。

这样同一个密码，每次登录都可以根据自省业务需要生成不同的 myHash，myHash 中包含了版本和 salt，存入数据库。

bcrypt 密码图解：

三、如何验证

在下次校验时，从 myHash 中取出 salt，salt 跟 password 进行 hash，得到的结果与保存在 DB 中的 hash 进行比对。

（SAW：Game Over！）