在 Yii2 迁移中安全地使用 bcrypt 哈希密码

yii2 推荐使用 `security::generatepasswordhash()` 在迁移中对初始用户密码进行 bcrypt 加密，既兼容 php 原生 `password_hash()`，又具备未来算法升级的兼容性，避免硬编码或不安全的 md5。

在 yii2 中，为迁移（Migration）中的初始用户设置安全密码，绝不可再使用 md5()、sha1() 或明文存储。Yii2 内置的 yiibaseSecurity 组件提供了符合现代安全标准的密码哈希方案——底层调用 php 的 password_hash() 函数（默认使用 PASSWORD_DEFAULT，当前为 bcrypt，且会随 PHP 版本自动演进），并自动处理盐值生成与格式封装，确保高安全性与向后兼容性。

✅ 正确做法：在 Migration 中调用 Security 组件

你可以在迁移文件中直接访问应用实例的 security 组件（需确保应用已初始化，如在控制台环境下运行 yii migrate 时默认可用）：

use yiidbMigration;  class m230101_000001_insert_default_users extends Migration {     public function safeUp($this->db)     {         $this->batchInsert(             'users',             ['first_name', 'last_name', 'email', 'password_hash', 'status', 'created_at'],             [                 [                     'Admin',                     'User',                     'admin@example.com',                     Yii::$app->security->generatePasswordHash('Admin@123'), // ✅ 安全哈希                     10, // STATUS_ACTIVE                     time(),                 ],                 [                     'Jane',                     'Doe',                     'user@example.com',                     Yii::$app->security->generatePasswordHash('User@2024'),                     10,                     time(),                 ],             ]         );     }      public function safeDown($this->db)     {         $this->delete('users', ['email' => ['admin@example.com', 'user@example.com']]);     } }

⚠️ 注意：generatePasswordHash() 返回的是完整哈希字符串（如 $2y$13$…），应存入数据库中类型为 VARCHAR(255) 的字段（推荐命名 password_hash 而非 password，语义更清晰）。

? 替代方案：依赖注入（更测试友好 & 解耦）

若希望迁移类完全脱离 Yii 应用上下文（例如用于单元测试或无应用实例环境），可采用构造函数注入 Security 实例：

use yiibaseSecurity; use yiidbMigration;  class m230101_000002_insert_users_with_di extends Migration {     private Security $security;      public function __construct(Security $security, $config = [])     {         $this->security = $security;         parent::__construct($config);     }      public function safeUp($this->db)     {         $this->batchInsert(             'users',             ['username', 'password_hash'],             [                 ['admin', $this->security->generatePasswordHash('p@ssw0rd')],                 ['demo',  $this->security->generatePasswordHash('demo123')],             ]         );     } }

该方式需确保 DI 容器已配置 Security 为单例（Yii2 控制台应用默认已注册）。

? 验证密码：配套使用 validatePassword()

生成的哈希可随时通过 Security::validatePassword() 验证原始密码，例如在登录逻辑中：

if (Yii::$app->security->validatePassword($inputPassword, $user->password_hash)) {     // 登录成功 }

该方法自动识别哈希算法、提取盐值并执行比对，无需手动解析格式。

? 总结要点

• ✅ 始终使用 Yii::$app->security->generatePasswordHash()，而非自行调用 password_hash()；
• ✅ 数据库字段长度至少设为 VARCHAR(255)（bcrypt 哈希最长约 60 字符，留余量）；
• ❌ 禁止在迁移中使用 md5()、crypt()（无盐）、或硬编码哈希值；
• ? PASSWORD_DEFAULT 兼容未来 PHP 密码算法升级（如 Argon2），代码零修改；
• ? 若迁移需离线运行或测试驱动，优先选用依赖注入方式提升可维护性。