<?php
$pass = '12345';
$hash = password_hash($pass, PASSWORD_DEFAULT);
if (password_verify($pass, $hash))
echo 'GOOD!';
?>

API хорошее, НО...
В форме авторизации проверка норм, а что записывать в куки?
Ведь если записать туда хэш, то его нельзя будет сверить, т. к. там соль постоянно новая, а если сам пароль записать, то не есть гуд
Как быть?

В каком смысле всегда новая? Я записываю хэш в куки при удачной авторизации и спокойно сверяю в шапке пароль в куках с паролем в БД.

Gazro, ты используеш password_hash? свою чтоли соль генерируеш?

rekmixa, да, password_hash. Свою соль не юзаю. И с чего бы соли в хэше вдруг постоянно менятся? Как я понимаю, хэш изменится только тогда, когда сработает rehash.

Gazro, ок. попробую поэкспериментировать

Gazro, стоп! ты записываеш в куки хэш из базы или заново хэшируеш пароль из формы?

rekmixa, прямо с базы это всяко лучше чем вообще никак не сверять пароли
________
посл. ред. 20.08.2017 в 10:22; всего 2 раз(а); by Gazro

Не заморачиваться, а делать отдельную соль в скрипте, конкатенировать её с паролем и вычислять их хеш. Если опасаешься - хешируй два раза, можешь три. Не придумывай велосипед - и будет тебе щастье...

спасибо
я что-то тупанул