在数据库中存储Bcrypt哈希密码应该使用什么列类型/长度？

bcrypt的模块化密码格式包括：

• $2$、$2a$或$2y$，用于标识哈希算法和格式，具体请参见版本历史
• 一个两位数字值，表示代价参数，后跟$
• 一个53个字符长的base-64编码值（它们使用字母表.、/、0–9、A–Z、a–z，与标准Base 64编码字母表不同），包括：
  • 22个字符的盐（实际上只有132个解码位中的128个位）
  • 31个字符的加密输出（实际上只有186个解码位中的184个位）

因此，总长度分别为59或60个字节。

由于你使用了2a格式，所以需要60个字节。因此，对于MySQL，我建议使用CHAR(60) BINARY或BINARY(60)（有关差异的信息，请参见_bin和binary排序规则）。

CHAR 不是二进制安全的，它的相等性不仅取决于字节值，还取决于实际的排序规则；在最坏的情况下，A 被视为等同于 a。有关更多信息，请参见_bin 和 binary 排序规则。

一个Bcrypt哈希可以存储在BINARY(40)列中。

BINARY(60)，正如其他答案所建议的那样，是最简单和最自然的选择，但如果您想最大化存储效率，您可以通过无损地分解哈希来节省20个字节。我在GitHub上对此进行了更全面的记录：https://github.com/ademarre/binary-mcf

Bcrypt哈希遵循一种称为模块化加密格式（MCF）的结构。二进制 MCF（BMCF）将这些文本哈希表示解码为更紧凑的二进制结构。在Bcrypt的情况下，生成的二进制哈希是40个字节。

Gumbo很好地解释了Bcrypt MCF哈希的四个组件：

$<id>$<cost>$<salt><digest>

将编码转换为BMCF的方法如下：

1. $<id>$可以用3位表示。
2. <cost>$，04-31，可以用5位表示。将它们放在一起组成1个字节。
3. 22个字符的盐是128位的（非标准）base-64表示法。Base-64解码得到16个字节。
4. 31个字符的哈希摘要可以被Base-64解码为23个字节。
5. 将所有内容放在一起，共40个字节：1 + 16 + 23

您可以在上面的链接中阅读更多信息，或查看我的PHP实现，也可在GitHub上找到。

如果您正在使用PHP的password_hash()生成bcrypt哈希值，并且使用PASSWORD_DEFAULT算法（我认为这是阅读此问题的人的很大一部分），请记住在将来password_hash()可能会使用不同的算法作为默认值，因此这可能会影响哈希的长度（但它不一定会更长）。
从手册页面中可以看到：
请注意，该常量被设计为随着新的和更强大的算法添加到PHP而发生变化。因此，使用此标识符的结果的长度随时间而变化。因此，建议将结果存储在可以扩展超过60个字符的数据库列中（255个字符将是一个不错的选择）。
即使您有10亿用户（即您当前正在与Facebook竞争），使用bcrypt存储255字节密码哈希值只需要大约255 GB的数据 - 大约是小型固态硬盘的大小。极不可能存储密码哈希值成为应用程序的瓶颈。但是，如果由于某种原因存储空间真的是一个问题，您可以使用PASSWORD_BCRYPT来强制password_hash()使用bcrypt，即使这不是默认值。只需确保随时了解bcrypt中发现的任何漏洞并审核每个新的PHP版本的发行说明。如果默认算法发生更改，最好审核原因并做出明智的决定是否使用新算法。

我不认为在存储这个内容时有什么巧妙的技巧，就像使用MD5哈希一样。

我认为最好的方法是将其存储为CHAR(60)，因为它始终是60个字符长。

我认为最好的选择是非二进制类型，因为相比之下组合较少，速度应该更快。如果使用base64_encode对数据进行编码，则每个位置、每个字节只有64个可能的值。如果使用bin2hex进行编码，则每个字节只有16个可能的值，但字符串要长得多。在二进制中，每个字节有256个位置。 我在哈希中使用了以编码64形式表示的VARCHAR(255)列，采用ASCII字符集和相同的排序规则。 VARBINARY会导致与MySQL文档中描述的比较问题。我不知道为什么答案建议使用VARBINARY有这么多优点。 我在我的作者网站上检查过这一点，其中测量时间（刷新即可查看）。