yii2 推荐使用 `security::generatepasswordhash()` 在迁移中对初始用户密码进行 bcrypt 加密,既兼容 php 原生 `password_hash()`,又具备未来算法升级的兼容性,避免硬编码或不安全的 md5。
在 Yii2 中,为迁移(Migration)中的初始用户设置安全密码,绝不可再使用 md5()、sha1() 或明文存储。Yii2 内置的 yii\base\Security 组件提供了符合现代安全标准的密码哈希方案——底层调用 PHP 的 password_hash() 函数(默认使用 PASSWORD_DEFAULT,当前为 bcrypt,且会随 PHP 版本自动演进),并自动处理盐值生成与格式封装,确保高安全性与向后兼容性。
✅ 正确做法:在 Migration 中调用 Security 组件
你可以在迁移文件中直接访问应用实例的 security 组件(需确保应用已初始化,如在控制台环境下运行 yii migrate 时默认可用):
use yii\db\Migration;
class m230101_000001_insert_default_users extends Migration
{
public function safeUp($this->db)
{
$this->batchInsert(
'users',
['first_name', 'last_name', 'email', 'password_hash', 'status', 'created_at'],
[
[
'Admin',
'User',
'admin@example.com',
Yii::$app->security->generatePasswordHash('Admin@123'), // ✅ 安全哈希
10, // STATUS_ACTIVE
time(),
],
[
'Jane',
'Doe',
'user@example.com',
Yii::$app->security->generatePasswordHash('User@2024'),
10,
time(),
],
]
);
}
public function safeDown($this->db)
{
$this->delete('users', ['email' => ['admin@example.com', 'user@example.com']]);
}
}⚠️ 注意:generatePasswordHash() 返回的是完整哈希字符串(如 $2y$13$...),应存入数据库中类型为 VARCHAR(255) 的字段(推荐命名 password_hash 而非 password,语义更清晰)。
? 替代方案:依赖注入(更测试友好 & 解耦)
若希望迁移类完全脱离 Yii 应用上下文(例如用于单元测试或无应用实例环境),可采用构造函数注入 Security 实例:
use yii\base\Security;
use yii\db\Migration;
class m230101_000002_insert_users_with_di extends Migration
{
private Security $security;
public function __construct(Security $security, $config = [])
{
$this->security = $security;
parent::__construct($config);
}
public function safeUp($this->db)
{
$this->batchInsert(
'users',
['username', 'password_hash'],
[
['admin', $this->security->generatePasswordHash('p@ssw0rd')],
['demo', $this->security->generatePasswordHash('demo123')],
]
);
}
}该方式需确保 DI 容器已配置 Security 为单例(Yii2 控制台应用默认已注册)。
? 验证密码:配套使用 validatePassword()
生成的哈希可随时通过 Security::validatePassword() 验证原始密码,例如在登录逻辑中:
if (Yii::$app->security->validatePassword($inputPassword, $user->password_hash)) {
// 登录成功
}该方法自动识别哈希算法、提取盐值并执行比对,无需手动解析格式。
