PHP password_hash()与Postgres crypt()

我正在尝试决定将用户身份验证逻辑放在何处.

我不是安全专家;但是,我熟悉PHP的新密码_ *()函数,我非常了解幕后发生的事情.我也熟悉Postgres Extension pgcrypto和相关的crypt()函数.

我的问题是,使用PHP或Postgres散列密码是否有意义？

我很好奇这些函数是如何不同的,所以我在PHP中创建了一个密码哈希,然后将它交给Postgres,看看Postgres是否使用相同的算法.给定相同的参数,与PHP相比,Postgres返回了不同的结果(不出意外,但有注意).

PHP

password_hash('password',PASSWORD_BCRYPT,["cost" => 15]);

输出：$2y $15 $o8JufrnVXoob2NKiEGx6.uI4O2D4VcaAmY7WtNq5zPFiJow4KohGu

Postgres的

SELECT '$2y$15$o8JufrnVXoob2NKiEGx6.uI4O2D4VcaAmY7WtNq5zPFiJow4KohGu' = crypt('password','$2y$15$o8JufrnVXoob2NKiEGx6.uI4O2D4VcaAmY7WtNq5zPFiJow4KohGu')

输出：false

PHP与Postgres

鉴于这些过程不同,我想知道一个是否比另一个更好？是安全还是更少？

其他一些想法：

我目前拥有存储在数据库中的所有逻辑(视图,函数,约束等),所以如果我需要使用不同的前端,我不必担心缺少逻辑.在PHP中计算密码哈希将有效地要求所有请求通过PHP来访问数据库.

另一方面,将逻辑放在数据库中可以让我灵活地使用其他连接选项;但是,所有Postgres查询都会被记录.由于复制中使用了WAL,我无法禁用日志.这似乎是一个很大的安全漏洞.

我在这里走在正确的轨道上吗？我错过了什么？

编辑

我只是看了another message thread并找到了更多信息.

>将逻辑放在Postgres中将需要数据库处理并执行散列操作.对于需要这些资源的其他用户和批处理作业来说,这将是一件坏事.
>哈希不仅会降低正常运行速度,还会使整个系统更容易受到DOS攻击.

我们带有负载平衡的简单Web服务器可以解决这两个问题

我再次走在正确的轨道上吗？我还缺少什么？