Laravel使用Hash门面通过Bcrypt算法对密码哈希，因哈希单向不可逆，保障数据库安全；注册时用Hash::make加密密码，登录时用Hash::check验证，支持自动加盐防彩虹表攻击，并可通过needsRehash检测是否需更新哈希强度。

在 Laravel 中，用户密码的加密是通过 Hash 门面 来实现的。Laravel 使用的是安全的 Bcrypt 哈希算法来对密码进行加密，而不是简单的加密（如 base64 或 md5），因为哈希是单向的，无法被逆向解密，从而保障了用户数据的安全性。

1. 为什么使用 Hash 而不是加密？

密码存储应始终使用哈希而非加密。加密是可逆的，而哈希是单向的。即使数据库泄露，攻击者也无法轻易还原原始密码。Laravel 默认使用 Bcrypt 算法，它会自动加盐（salt）并防止彩虹表攻击。

2. 使用 Hash 门面对密码进行哈希

在注册用户时，你需要将明文密码进行哈希处理后再存入数据库。可以通过 Hash 门面的 make 方法实现：

use Illuminate\Support\Facades\Hash;

$hashedPassword = Hash::make('明文密码');

例如在控制器中注册用户：

public function register(Request $request)
{
    $user = User::create([
        'name' => $request->name,
        'email' => $request->email,
        'password' => Hash::make($request->password), // 密码自动哈希
    ]);

    return redirect('/login');
}

3. 验证用户密码是否正确

当用户登录时，不能解密已哈希的密码，而是需要将用户输入的明文密码再次哈希后比对。但 Laravel 提供了更简便的方法：check 方法。

if (Hash::check('输入的密码', $hashedPassword)) {
    // 密码正确
}

在登录逻辑中通常这样使用：

$user = User::where('email', $request->email)->first();

if ($user && Hash::check($request->password, $user->password)) {
    Auth::login($user);
    return redirect()->intended('/dashboard');
}



4. 检查密码是否需要重新哈希
Bcrypt 的“哈希强度”（cost）可以调整。如果你升级了 cost 值，旧密码仍可用，但在下次登录时可以判断是否需要重新哈希存储。

if (Hash::check($request->password, $user->password)) {
    // 如果哈希参数已更新，重新保存更安全的哈希值
    if (Hash::needsRehash($user->password)) {
        $user->password = Hash::make($request->password);
        $user->save();
    }
    Auth::login($user);
}



基本上就这些。Laravel 的 Hash 门面让密码安全处理变得简单又可靠。只要坚持使用 Hash::make 存储、Hash::check 验证，就能有效保护用户账户安全。