質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

5回答

5817閲覧

異なる環境で作成したパスワードハッシュが一致しない

Auxo

総合スコア34

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

3クリップ

投稿2017/07/06 07:27

password_hashを使いハッシュ化したパスワードの認証で失敗しています。

構成上、パスワードのハッシュ化はサーバー群(A)にて行っており、そこでpassword_hashを使いハッシュ化したデータを別なサーバー群(B)に引き渡し、サーバー群(B)でpassword_verifyを使い検証しています。

しかし、同一サーバー上でハッシュ化および検証を行う場合は正常に動作しますが、異なるサーバ上で検証を行うと一致しません。

サーバー群(A)で行うハッシュ化は以下のとおりです。
※実際の$passwordStringは別な画面で入力されたものをユーザー毎に使用します

$passwordString = "password"; $passwordHash = password_hash($passwordString, PASSWORD_DEFAULT);

上記の$passwordHashをユーザー毎にサーバー群(B)に引き渡し、その後以下のように検証しています。
※実際の$_POST['password']はサーバー群(B)ロのグイン画面で入力されたものを使用します

$inputPasswordString = $_POST['password']; if(!password_verify($inputPasswordString, $passwordHash)){ throw new Exception("password error."); }

念のため、元のパスワード文字列と、ハッシュ化文字列をソース上に記述し検証しましたが、やはり異なる環境でハッシュ化されたものは、別サーバー上では検証に失敗しております。

password_hash及びpassword_verifyは同一環境上でなければ一致しないものなのでしょうか。
ドキュメントを読む限りはハッシュ化された情報上にsaltや暗号化ロジックを含み情報が入っており、環境に依存せず利用できるとの認識です。

なお、サーバー群(A)はPHP7系ですが、サーバー群(B)はPHP5系です。
これが影響しているのでしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ockeghem

2017/07/07 02:41

検証してみたいので、各サーバーのPHPバージョンを正確に教えてください。また、password_hash等は外部ライブラリではなく、PHPの組み込み関数を使っていますか?
guest

回答5

0

試みに、PHP 7.1.0で作成したハッシュ値をPHP 5.5.0 で検証してみましたが、ちゃんと動作するようです。もう少し詳細の情報がないと、原因の推測が難しいと思います。

$ cat password_hash.php <?php echo password_hash('password', PASSWORD_DEFAULT)."\n"; $ php-7.1.0 password_hash.php $2y$10$CvWY6c9LYp4W4LOSvHdha.6WscTK4qnnSyiV/4dUnyAa4Vkvyupxa $ cat password_verify.php <?php $hash = '$2y$10$CvWY6c9LYp4W4LOSvHdha.6WscTK4qnnSyiV/4dUnyAa4Vkvyupxa'; var_dump(password_verify('password', $hash)); $ php-5.5.0 password_verify.php bool(true)

投稿2017/07/07 04:45

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

マニュアルのpassword_hashから、定義済み定数の所を見ると分かると思いますが、「PHP のバージョンが上がるときに、 その時点でより強力なハッシュアルゴリズムに対応していればデフォルトが変わる可能性があります。」と書いてあります。

投稿2017/07/06 08:03

yoorwm

総合スコア1305

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

rana_kualu

2017/07/07 12:18 編集

PASSWORD_DEFAULTは暗号化アルゴリズムのことであり、復号は暗号化に利用したアルゴリズムが自動的に使用されます。 PASSWORD_DEFAULTが変わったとしても復号には(普通は)影響ありません。
guest

0

環境に依存せず利用できるとの認識です。

本来はそのとおりのはずです。
手元のPHP5.6(Linux)で暗号化→7.1(Windows)で復号を試してみましたが問題なく動作しました。
考えられる要因としては以下のようなものが思いつきます。

・サーバー群Aで使ったPASSWORD_DEFAULTアルゴリズムがサーバー群Bに[入っていない | PHPから参照できない]
・サーバー群Aが実はPHP5.4以下で、password_hash()が似て非なる関数である
・「サーバー群Bに引き渡す」あたりでエスケープかカラム長制限か何かで元とは別の文字列になっている

PHP5系および7系の詳細なバージョンとPASSWORD_DEFAULTの値、
"password"をサーバー群Aおよびサーバー群Bで暗号化した結果を
ここに書いてもらえると確認しやすいです。

投稿2017/07/07 12:19

rana_kualu

総合スコア92

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

<del>password_xxx 系の関数は php version 5.3 で動作が変わる様な変更が行われた様です。</del>

https://github.com/ircmaxell/password_compat

互換性のあるライブラリを提供してくれている人がいるのでこちらを使ってみてはどうでしょうか。

投稿2017/07/06 08:05

編集2017/07/07 13:03
mattn

総合スコア5030

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

rana_kualu

2017/07/07 12:17

「php version 5.3 で動作が変わる様な変更が行われた」という事実は存在しません。 password_hash()はPHP5.5で実装されたものです。
guest

0

自己解決

皆様多数のご助言・ご指摘ありがとうございます。

その後、ご助言いただいた指摘を確認しつつ、自分でも幾つか作業していて原因を特定いたしました。
原因は最初の検証時に作成したサンプルでハッシュをダブルクォートで括っていたことです。

自分でも「これは・・・」というミスでした。

後の為に理由をあえて書いておきますと、当然ですが、ダブルクォート内では変数展開が行われます。
つまり「$」で始まる部分は変数であると解釈され、結果として関数に渡される値(この場合はハッシュ)がもともとの文字列とは異なるものになっているという事です。

※と理解していますが、間違ってる場合はご指摘いただけると助かります

当然の事ではあるのですが、検証結果を以下のとおり記載します。

<?php $inputString = 'password'; $passwordHashA = '$2y$10$Bkl2eTHc0X.5oi0Lzm1S4eOqp2HMO.5qSzfHp23hHnmVOjCJOM7em'; $passwordHashB = "$2y$10$Bkl2eTHc0X.5oi0Lzm1S4eOqp2HMO.5qSzfHp23hHnmVOjCJOM7em"; if(password_verify($inputString, $passwordHashA)){ echo "[A] Password Match"; }else{ echo "[A] Password Not Match"; } if(password_verify($inputString, $passwordHashB)){ echo "[B] Password Match"; }else{ echo "[B] Password Not Match"; } /* [A] Password Match [B] Password Not Match */

無意識的とはいえ致命的なミスでした。

なお、password_verifyによる差異についてもrana_kualu様ご指摘のように、そもそも影響はしない事を私の操作した範囲では確認しています。
この部分は当初投稿の文中に記載しているように、ハッシュ化された情報上にsaltや暗号化ロジックを含み情報が入っている為、仮に優先されるアルゴリズムが変更されたとしても検証結果に影響を及ぼす事はありません。

私のお粗末なミスで大変お騒がせしました。

ご助言・ご指摘いただきました皆様本当にありがとうございました。

投稿2017/07/07 14:40

Auxo

総合スコア34

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問